Microsoftin tietoturva-asiantuntijat ovat varoittaneet käyttäjiä hyökkäyksistä kryptovaluutan kaivosyhtiöstä nimeltä Dexphot, joka on ollut Windows-tietokoneiden kohteena viime vuoden lokakuusta lähtien. Haittaohjelman aktiivisuuden huippu saavutettiin tämän vuoden kesäkuussa, jolloin yli 80 000 tietokonetta ympäri maailmaa sai tartunnan.
Raportissa todetaan, että tunkeutuakseen uhrien tietokoneisiin haittaohjelma käyttää erilaisia menetelmiä suojauksen ohittamiseksi, mukaan lukien salaus, hämärtäminen ja satunnaisten tiedostonimien käyttö asennusprosessin naamioimiseksi. Tiedetään myös, että kaivostyöntekijä ei käytä mitään tiedostoja käynnistysprosessin aikana ja suorittaa haitallista koodia suoraan muistiin. Tästä johtuen se jättää hyvin vähän jälkiä läsnäolostaan. Tunnistuksen välttämiseksi Dexphot sieppaa laillisia Windows-prosesseja, mukaan lukien unzip.exe, rundll32.exe, msiexec.exe jne.
Jos käyttäjä yrittää poistaa haittaohjelmia tietokoneelta, valvontapalvelut käynnistyvät ja uudelleentartunta aloitetaan. Raportissa todetaan, että Dexphot on asennettu tietokoneisiin, jotka ovat jo saaneet tartunnan. Osana meneillään olevaa kampanjaa haittaohjelma tavoittaa ICLoader-viruksella tartunnan saaneet järjestelmät. Haitallisia moduuleja ladataan useista URL-osoitteista, joita käytetään myös haittaohjelmien päivittämiseen ja uudelleentartunnan suorittamiseen.
"Dexphot ei ole sellainen hyökkäys, joka saa median huomion. Tämä on yksi monista kampanjoista, jotka ovat olleet käynnissä pitkään. Sen tarkoitus on laajalle levinnyt kyberrikollisissa piireissä ja tiivistyy kryptovaluuttakaivostyöntekijän asentamiseen, joka käyttää salaa tietokoneresursseja hyökkääjien hyödyksi", sanoi Microsoft Defender ATP Research Groupin haittaohjelmien analyytikko Hazel Kim.
Lähde: 3dnews.ru