Los expertos en seguridad de Microsoft han advertido a los usuarios sobre ataques de un minero de criptomonedas llamado Dexphot, que ataca a las computadoras que ejecutan Windows Desde octubre del año pasado. La mayor actividad del malware se registró en junio de este año, cuando más de 80.000 ordenadores de todo el mundo resultaron infectados.
El informe indica que el malware utiliza diversos métodos evasivos para infiltrarse en los ordenadores de las víctimas, como el cifrado, la ofuscación y el uso de nombres de archivo aleatorios para disimular el proceso de instalación. También se sabe que el minero no utiliza ningún archivo al iniciarse, sino que ejecuta su código malicioso directamente en la memoria. Por ello, deja muy pocos rastros que permitan detectar su presencia. Para evitar ser detectado, Dexphot secuestra procesos legítimos. Windows, incluyendo unzip.exe, rundll32.exe, msiexec.exe, etc.
Si un usuario intenta eliminar malware de una computadora, se activan los servicios de monitoreo y se inicia la reinfección. El informe señala que Dexphot se instala en ordenadores que ya han sido infectados. En el marco de la campaña actual, el malware llega a los sistemas infectados con el virus ICLoader. Los módulos maliciosos se descargan desde varias URL, que también se utilizan para actualizar el malware y realizar una reinfección.
“Dexphot no es el tipo de ataque que llama la atención de los medios. Esta es una de muchas campañas que existen desde hace mucho tiempo. Su propósito está muy extendido en los círculos cibercriminales y se reduce a instalar un minero de criptomonedas que utiliza en secreto recursos informáticos en beneficio de los atacantes”, dijo Hazel Kim, analista de malware de Microsoft Defender ATP.
Fuente: 3dnews.ru
