Microsoft-Sicherheitsexperten haben Benutzer vor Angriffen eines Kryptowährungs-Miners namens Dexphot gewarnt, der seit Oktober letzten Jahres auf Windows-Computer abzielt. Die höchste Aktivität der Malware wurde im Juni dieses Jahres verzeichnet, als weltweit mehr als 80 Computer infiziert wurden.
In dem Bericht heißt es, dass die Malware zum Eindringen in die Computer der Opfer verschiedene Methoden zur Umgehung des Schutzes einsetzt, darunter Verschlüsselung, Verschleierung und die Verwendung zufälliger Dateinamen zur Verschleierung des Installationsprozesses. Es ist auch bekannt, dass der Miner während des Startvorgangs keine Dateien verwendet und Schadcode direkt im Speicher ausführt. Aus diesem Grund hinterlässt es nur sehr wenige Spuren, die seine Anwesenheit dokumentieren. Um einer Erkennung zu entgehen, fängt Dexphot legitime Windows-Prozesse ab, darunter unzip.exe, rundll32.exe, msiexec.exe usw.
Wenn ein Benutzer versucht, Malware von einem Computer zu entfernen, werden Überwachungsdienste ausgelöst und eine erneute Infektion eingeleitet. Der Bericht stellt fest, dass Dexphot auf bereits infizierten Computern installiert wird. Im Rahmen der aktuellen Kampagne gelangt die Schadsoftware auf Systeme, die mit dem ICLoader-Virus infiziert sind. Von mehreren URLs werden schädliche Module heruntergeladen, die auch zur Aktualisierung der Malware und zur Durchführung einer Neuinfektion verwendet werden.
„Dexphot ist nicht die Art von Angriff, die die Aufmerksamkeit der Medien erregt. Dies ist eine von vielen Kampagnen, die es schon seit langem gibt. Sein Zweck ist in Cyberkriminellenkreisen weit verbreitet und läuft darauf hinaus, einen Kryptowährungs-Miner zu installieren, der heimlich Computerressourcen zum Nutzen von Angreifern nutzt“, sagte Microsoft Defender ATP-Malware-Analyst Hazel Kim.
Source: 3dnews.ru