Microsofts sikkerhedseksperter har advaret brugere om angreb fra en cryptocurrency-minearbejder ved navn Dexphot, som har været rettet mod Windows-computere siden oktober sidste år. Malwarens højeste aktivitet blev registreret i juni i år, hvor mere end 80 computere rundt om i verden blev inficeret.
Rapporten fastslår, at for at trænge ind i ofrenes computere bruger malwaren forskellige metoder til at omgå beskyttelse, herunder kryptering, sløring og brug af tilfældige filnavne til at skjule installationsprocessen. Det er også kendt, at minearbejderen ikke bruger nogen filer under opstartsprocessen og udfører ondsindet kode direkte i hukommelsen. På grund af dette efterlader den meget få spor til at registrere sin tilstedeværelse. For at undgå opdagelse opsnapper Dexphot legitime Windows-processer, herunder unzip.exe, rundll32.exe, msiexec.exe osv.
Hvis en bruger forsøger at fjerne malware fra en computer, udløses overvågningstjenester, og geninfektion påbegyndes. Rapporten bemærker, at Dexphot er installeret på computere, der allerede er blevet inficeret. Som en del af den aktuelle kampagne når malwaren ud til systemer, der er inficeret med ICLoader-virussen. Ondsindede moduler downloades fra flere URL'er, som også bruges til at opdatere malwaren og udføre geninfektion.
"Dexphot er ikke den type angreb, der får mediernes opmærksomhed. Dette er en af mange kampagner, der har eksisteret i lang tid. Dens formål er udbredt i cyberkriminelle kredse og går ud på at installere en cryptocurrency-minearbejder, der i al hemmelighed bruger computerressourcer til fordel for angribere,” siger Hazel Kim, malware-analytiker hos Microsoft Defender ATP Research Group.
Kilde: 3dnews.ru