Microsofti turbeeksperdid hoiatasid kasutajaid rünnakute eest, mis tulevad krüptoraha kaevandaja nimega Dexphot, mis on olnud sihikule Windowsi arvutitele alates eelmise aasta oktoobrist. Pahavara tippaktiivsus registreeriti selle aasta juunis, mil nakatus üle 80 000 arvuti üle maailma.
Aruandes öeldakse, et ohvrite arvutitesse tungimiseks kasutab pahavara kaitsest möödahiilimiseks erinevaid meetodeid, sealhulgas krüpteerimist, hägustamist ja juhuslike failinimede kasutamist installiprotsessi varjamiseks. Samuti on teada, et kaevandaja ei kasuta käivitusprotsessi ajal ühtegi faili, käivitades pahatahtliku koodi otse mällu. Seetõttu jätab see oma kohaloleku registreerimiseks väga vähe jälgi. Tuvastamise vältimiseks peatab Dexphot seaduslikud Windowsi protsessid, sealhulgas unzip.exe, rundll32.exe, msiexec.exe jne.
Kui kasutaja üritab arvutist pahavara eemaldada, käivituvad seireteenused ja algatatakse uuesti nakatumine. Aruandes märgitakse, et Dexphot on installitud arvutitesse, mis on juba nakatunud. Käimasoleva kampaania raames jõuab pahavara ICLoader viirusega nakatunud süsteemidesse. Pahatahtlikud moodulid laaditakse alla mitmelt URL-ilt, mida kasutatakse ka pahavara värskendamiseks ja uuesti nakatumiseks.
"Dexphot ei ole seda tüüpi rünnak, mis meedia tähelepanu tõmbab. See on üks paljudest kampaaniatest, mis on olnud juba pikka aega. Selle eesmärk on küberkurjategijate ringkondades laialt levinud ja taandub krüptoraha kaevandaja installimisele, mis kasutab salaja arvutiressursse ründajate hüvanguks,” ütles Microsoft Defender ATP pahavara analüütik Hazel Kim.
Allikas: 3dnews.ru