A Microsoft biztonsági szakértői figyelmeztették a felhasználókat a Dexphot nevű kriptovaluta-bányász támadásaira, amely a következő számítógépeket támadja: Windows Tavaly október óta. A kártevő aktivitásának csúcspontját idén júniusban mérték, amikor világszerte több mint 80 000 számítógépet fertőzött meg.
A jelentés szerint a kártevő különféle kitérő módszereket használ az áldozatok számítógépeire való behatoláshoz, beleértve a titkosítást, az obfuszkálást és a véletlenszerű fájlnevek használatát a telepítési folyamat elrejtésére. Az is ismert, hogy a bányász program indításkor nem használ fájlokat, a rosszindulatú kódot közvetlenül a memóriában hajtja végre. Emiatt nagyon kevés nyomot hagy, amely lehetővé tenné a jelenlétének észlelését. Az észlelés elkerülése érdekében a Dexphot legitim folyamatokat térít el. Windows, beleértve az unzip.exe, rundll32.exe, msiexec.exe stb. fájlokat.
Ha a felhasználó megpróbálja eltávolítani a kártevőt a számítógépről, a rendszer bekapcsolja a megfigyelő szolgáltatásokat, amelyek újrafertőzést indítanak el. A jelentés megjegyzi, hogy a Dexphotot már fertőzött számítógépekre telepítik. A jelenlegi kampány részeként a kártevőt az ICLoader vírussal fertőzött rendszerekre telepítik. A kártékony modulok több URL-címről is letöltődnek, amelyeket a kártevő frissítésére és az újrafertőzésre is használnak.
„A Dexphot nem az a fajta támadás, ami médiafigyelmet vonz. Ez egyike a sok olyan kampánynak, amelyek már régóta léteznek. Célja széles körben elterjedt a kiberbűnözői körökben, és egy kriptovaluta-bányász telepítését foglalja magában, amely titokban kihasználja a számítógép erőforrásait a támadók javára” – mondta Hazel Kim, a Microsoft Defender ATP kutatócsoportjának kártevő-elemzője.
Forrás: 3dnews.ru
