A Microsoft biztonsági szakértői figyelmeztették a felhasználókat a Dexphot nevű kriptovaluta-bányász támadásaira, amely tavaly október óta célozza a Windows számítógépeket. A kártevő csúcsaktivitását idén júniusban jegyezték fel, amikor több mint 80 000 számítógép fertőződött meg világszerte.
A jelentés azt állítja, hogy az áldozatok számítógépére való behatolás érdekében a kártevő különféle módszereket használ a védelem megkerülésére, beleértve a titkosítást, a homályosítást és a véletlenszerű fájlnevek használatát a telepítési folyamat álcázására. Az is ismert, hogy a bányász nem használ fájlokat az indítási folyamat során, és rosszindulatú kódot futtat közvetlenül a memóriában. Emiatt nagyon kevés nyomot hagy a jelenlétének rögzítésére. Az észlelés elkerülése érdekében a Dexphot elfogja a legitim Windows-folyamatokat, beleértve az unzip.exe-t, a rundll32.exe-t, az msiexec.exe-t stb.
Ha a felhasználó megpróbálja eltávolítani a rosszindulatú programokat a számítógépről, akkor a megfigyelési szolgáltatások aktiválódnak, és újbóli fertőzés indul. A jelentés megjegyzi, hogy a Dexphot már fertőzött számítógépekre telepítve van. A mostani kampány részeként a kártevő eléri az ICLoader vírussal fertőzött rendszereket. Számos URL-ről töltenek le rosszindulatú modulokat, amelyek a kártevő frissítésére és az újrafertőzés végrehajtására is szolgálnak.
„A Dexphot nem az a típusú támadás, amely felkelti a média figyelmét. Ez egy a sok kampány közül, amelyek már régóta léteznek. Célja széles körben elterjedt a kiberbûnözõk köreiben, és egy kriptovaluta bányász telepítésében rejlik, amely titokban számítógépes erõforrásokat használ fel a támadók javára” – mondta Hazel Kim, a Microsoft Defender ATP Research Group malware elemzõje.
Forrás: 3dnews.ru