Els experts en seguretat de Microsoft han advertit als usuaris dels atacs d'un miner de criptomoneda anomenat Dexphot, que s'ha dirigit als ordinadors Windows des d'octubre de l'any passat. L'activitat màxima del programari maliciós es va registrar el juny d'aquest any, quan es van infectar més de 80 ordinadors a tot el món.
L'informe afirma que per penetrar als ordinadors de les víctimes, el programari maliciós utilitza diversos mètodes per evitar la protecció, com ara el xifratge, l'ofuscament i l'ús de noms de fitxer aleatoris per dissimular el procés d'instal·lació. També se sap que el miner no utilitza cap fitxer durant el procés d'inici, executant codi maliciós directament a la memòria. Per això, deixa molt poques empremtes per deixar constància de la seva presència. Per evitar la detecció, Dexphot intercepta processos legítims de Windows, com ara unzip.exe, rundll32.exe, msiexec.exe, etc.
Si un usuari intenta eliminar programari maliciós d'un ordinador, s'activen els serveis de monitorització i s'inicia la reinfecció. L'informe assenyala que Dexphot està instal·lat en ordinadors que ja han estat infectats. Com a part de la campanya actual, el programari maliciós arriba a sistemes infectats amb el virus ICLoader. Els mòduls maliciosos es descarreguen de diversos URL, que també s'utilitzen per actualitzar el programari maliciós i dur a terme la reinfecció.
"Dexphot no és el tipus d'atac que crida l'atenció dels mitjans. Aquesta és una de les moltes campanyes que hi ha des de fa molt de temps. El seu propòsit està molt estès als cercles cibercriminals i es redueix a la instal·lació d'un miner de criptomoneda que utilitza secretament recursos informàtics en benefici dels atacants", va dir Hazel Kim, analista de programari maliciós ATP de Microsoft Defender.
Font: 3dnews.ru