Pakar keamanan Microsoft telah memperingatkan pengguna tentang serangan dari penambang cryptocurrency bernama Dexphot, yang telah menargetkan komputer Windows sejak Oktober tahun lalu. Aktivitas puncak malware ini tercatat pada bulan Juni tahun ini, ketika lebih dari 80 komputer di seluruh dunia terinfeksi.
Laporan tersebut menyatakan bahwa untuk menembus komputer korban, malware tersebut menggunakan berbagai metode untuk melewati perlindungan, termasuk enkripsi, kebingungan, dan penggunaan nama file acak untuk menyamarkan proses instalasi. Diketahui juga bahwa penambang tidak menggunakan file apa pun selama proses startup, mengeksekusi kode berbahaya langsung di memori. Oleh karena itu, ia hanya meninggalkan sedikit jejak untuk mencatat keberadaannya. Untuk menghindari deteksi, Dexphot menyadap proses Windows yang sah, termasuk unzip.exe, rundll32.exe, msiexec.exe, dll.
Jika pengguna mencoba menghapus malware dari komputer, layanan pemantauan akan terpicu dan infeksi ulang dimulai. Laporan tersebut mencatat bahwa Dexphot diinstal pada komputer yang telah terinfeksi. Sebagai bagian dari kampanye saat ini, malware tersebut menjangkau sistem yang terinfeksi virus ICLoader. Modul berbahaya diunduh dari beberapa URL, yang juga digunakan untuk memperbarui malware dan melakukan infeksi ulang.
“Dexphot bukanlah jenis serangan yang menarik perhatian media. Ini adalah salah satu dari banyak kampanye yang telah ada sejak lama. Tujuannya tersebar luas di kalangan penjahat dunia maya dan berujung pada pemasangan penambang mata uang kripto yang secara diam-diam menggunakan sumber daya komputer untuk kepentingan penyerang,” kata analis malware Microsoft Defender ATP, Hazel Kim.
Sumber: 3dnews.ru