Microsoft-ի անվտանգության փորձագետները զգուշացրել են օգտատերերին Dexphot կոչվող կրիպտոարժույթի հանքագործի հարձակումների մասին, որը թիրախավորում է Windows համակարգիչներն անցյալ տարվա հոկտեմբերից: Չարամիտ ծրագրի ակտիվության գագաթնակետը գրանցվել է այս տարվա հունիսին, երբ վարակվել են ավելի քան 80 համակարգիչներ ամբողջ աշխարհում։
Զեկույցում ասվում է, որ զոհերի համակարգիչ ներթափանցելու համար չարամիտ ծրագիրը օգտագործում է պաշտպանությունը շրջանցելու տարբեր մեթոդներ, ներառյալ գաղտնագրումը, մշուշումը և ֆայլերի պատահական անունների օգտագործումը՝ տեղադրման գործընթացը քողարկելու համար: Հայտնի է նաև, որ մայները գործարկման գործընթացում որևէ ֆայլ չի օգտագործում՝ վնասակար կոդ կատարելով անմիջապես հիշողության մեջ։ Դրա պատճառով այն շատ քիչ հետքեր է թողնում իր ներկայությունը գրանցելու համար։ Հայտնաբերումից խուսափելու համար Dexphot-ը ընդհատում է Windows-ի օրինական գործընթացները, ներառյալ unzip.exe, rundll32.exe, msiexec.exe և այլն:
Եթե օգտատերը փորձում է հեռացնել չարամիտ ծրագրերը համակարգչից, մոնիտորինգի ծառայությունները գործարկվում են և նորից վարակվում է: Զեկույցում նշվում է, որ Dexphot-ը տեղադրված է արդեն վարակված համակարգիչների վրա։ Ընթացիկ արշավի շրջանակներում չարամիտ ծրագիրը հասնում է ICLoader վիրուսով վարակված համակարգերի: Վնասակար մոդուլները ներբեռնվում են մի քանի URL-ներից, որոնք նույնպես օգտագործվում են չարամիտ ծրագրերը թարմացնելու և նորից վարակվելու համար:
«Dexphot-ը հարձակման այն տեսակը չէ, որը գրավում է լրատվամիջոցների ուշադրությունը: Սա այն բազմաթիվ արշավներից մեկն է, որոնք վաղուց են եղել: Դրա նպատակը լայնորեն տարածված է կիբերհանցագործության շրջանակներում և հանգում է կրիպտոարժույթի հանքագործի տեղադրմանը, որը գաղտնի օգտագործում է համակարգչային ռեսուրսները՝ ի շահ հարձակվողների», - ասում է Microsoft Defender ATP չարամիտ ծրագրերի վերլուծաբան Հեյզել Քիմը:
Source: 3dnews.ru