Los expertos en seguridad de Microsoft han advertido a los usuarios sobre los ataques de un minero de criptomonedas llamado Dexphot, que ha estado apuntando a computadoras con Windows desde octubre del año pasado. El pico de actividad del malware se registró en junio de este año, cuando se infectaron más de 80 ordenadores en todo el mundo.
El informe afirma que para penetrar en los ordenadores de las víctimas, el malware utiliza varios métodos para eludir la protección, incluido el cifrado, la ofuscación y el uso de nombres de archivos aleatorios para disfrazar el proceso de instalación. También se sabe que el minero no utiliza ningún archivo durante el proceso de inicio, ejecutando código malicioso directamente en la memoria. Debido a esto, deja muy pocos rastros que dejen constancia de su presencia. Para evitar la detección, Dexphot intercepta procesos legítimos de Windows, incluidos unzip.exe, rundll32.exe, msiexec.exe, etc.
Si un usuario intenta eliminar malware de una computadora, se activan los servicios de monitoreo y se inicia la reinfección. El informe señala que Dexphot se instala en ordenadores que ya han sido infectados. En el marco de la campaña actual, el malware llega a los sistemas infectados con el virus ICLoader. Los módulos maliciosos se descargan desde varias URL, que también se utilizan para actualizar el malware y realizar una reinfección.
“Dexphot no es el tipo de ataque que llama la atención de los medios. Esta es una de muchas campañas que existen desde hace mucho tiempo. Su propósito está muy extendido en los círculos cibercriminales y se reduce a instalar un minero de criptomonedas que utiliza en secreto recursos informáticos en beneficio de los atacantes”, dijo Hazel Kim, analista de malware de Microsoft Defender ATP.
Fuente: 3dnews.ru