Bezpečnostní experti Microsoftu varovali uživatele před útoky těžaře kryptoměn jménem Dexphot, který se od října loňského roku zaměřuje na počítače s Windows. Největší aktivita malwaru byla zaznamenána v červnu tohoto roku, kdy bylo infikováno více než 80 000 počítačů po celém světě.
Zpráva uvádí, že k proniknutí do počítačů obětí malware používá různé metody k obejití ochrany, včetně šifrování, zmatku a použití náhodných názvů souborů k maskování instalačního procesu. Je také známo, že těžař během procesu spouštění nepoužívá žádné soubory a spouští škodlivý kód přímo v paměti. Z tohoto důvodu zanechává jen velmi málo stop pro zaznamenání jeho přítomnosti. Aby se zabránilo detekci, Dexphot zachycuje legitimní procesy Windows, včetně unzip.exe, rundll32.exe, msiexec.exe atd.
Pokud se uživatel pokusí odstranit malware z počítače, spustí se monitorovací služby a zahájí se opětovná infekce. Zpráva uvádí, že Dexphot je nainstalován na počítačích, které již byly infikovány. V rámci aktuální kampaně se malware dostává do systémů infikovaných virem ICLoader. Škodlivé moduly se stahují z několika adres URL, které se také používají k aktualizaci malwaru a provedení reinfekce.
„Dexphot není typ útoku, který přitahuje pozornost médií. Toto je jedna z mnoha kampaní, které existují již dlouhou dobu. Jeho účel je široce rozšířen v kruzích kyberzločinců a scvrkává se na instalaci těžaře kryptoměn, který tajně využívá počítačové zdroje ve prospěch útočníků,“ řekla Hazel Kim, analytička malwaru z Microsoft Defender ATP Research Group.
Zdroj: 3dnews.ru