Les experts en sécurité de Microsoft ont mis en garde les utilisateurs contre les attaques d'un mineur de cryptomonnaie appelé Dexphot, qui cible les ordinateurs Windows depuis octobre de l'année dernière. Le pic d'activité du malware a été enregistré en juin de cette année, lorsque plus de 80 000 ordinateurs dans le monde ont été infectés.
Le rapport indique que pour pénétrer dans les ordinateurs des victimes, le logiciel malveillant utilise diverses méthodes pour contourner la protection, notamment le cryptage, l'obscurcissement et l'utilisation de noms de fichiers aléatoires pour dissimuler le processus d'installation. On sait également que le mineur n’utilise aucun fichier pendant le processus de démarrage, exécutant du code malveillant directement en mémoire. De ce fait, il laisse très peu de traces permettant de constater sa présence. Pour éviter toute détection, Dexphot intercepte les processus Windows légitimes, notamment unzip.exe, rundll32.exe, msiexec.exe, etc.
Si un utilisateur tente de supprimer un logiciel malveillant d'un ordinateur, les services de surveillance sont déclenchés et une réinfection est lancée. Le rapport indique que Dexphot est installé sur des ordinateurs déjà infectés. Dans le cadre de la campagne actuelle, le malware atteint les systèmes infectés par le virus ICLoader. Les modules malveillants sont téléchargés à partir de plusieurs URL, qui sont également utilisées pour mettre à jour le malware et procéder à une réinfection.
« Dexphot n’est pas le type d’attaque qui retient l’attention des médias. C’est l’une des nombreuses campagnes qui existent depuis longtemps. Son objectif est répandu dans les cercles cybercriminels et se résume à l’installation d’un mineur de cryptomonnaie qui utilise secrètement les ressources informatiques au profit des attaquants », a déclaré Hazel Kim, analyste de logiciels malveillants chez Microsoft Defender ATP Research Group.
Source: 3dnews.ru