Gli esperti di sicurezza Microsoft hanno messo in guardia gli utenti dagli attacchi di un minatore di criptovaluta chiamato Dexphot, che ha preso di mira i computer Windows dall'ottobre dello scorso anno. Il picco di attività del malware è stato registrato nel giugno di quest'anno, quando sono stati infettati più di 80 computer in tutto il mondo.
Il rapporto afferma che per penetrare nei computer delle vittime, il malware utilizza vari metodi per aggirare la protezione, tra cui la crittografia, l'offuscamento e l'uso di nomi di file casuali per mascherare il processo di installazione. È noto anche che il minatore non utilizza alcun file durante il processo di avvio, eseguendo codice dannoso direttamente in memoria. Per questo motivo lascia pochissime tracce che testimoniano la sua presenza. Per evitare il rilevamento, Dexphot intercetta processi Windows legittimi, inclusi unzip.exe, rundll32.exe, msiexec.exe, ecc.
Se un utente tenta di rimuovere malware da un computer, vengono attivati i servizi di monitoraggio e viene avviata la reinfezione. Il rapporto rileva che Dexphot è installato su computer che sono già stati infettati. Nell'ambito dell'attuale campagna il malware raggiunge i sistemi infettati dal virus ICLoader. Da diversi URL vengono scaricati moduli dannosi che vengono utilizzati anche per aggiornare il malware ed eseguire una reinfezione.
“Dexphot non è il tipo di attacco che attira l’attenzione dei media. Questa è una delle tante campagne che esistono da molto tempo. Il suo scopo è molto diffuso negli ambienti dei criminali informatici e si riduce all’installazione di un minatore di criptovaluta che utilizza segretamente le risorse del computer a vantaggio degli aggressori”, ha affermato Hazel Kim, analista di malware presso Microsoft Defender ATP Research Group.
Fonte: 3dnews.ru