Microsoft-beveiligingsexperts hebben gebruikers gewaarschuwd voor aanvallen van een cryptocurrency-mijnwerker genaamd Dexphot, die zich sinds oktober vorig jaar op Windows-computers richt. De piekactiviteit van de malware werd geregistreerd in juni van dit jaar, toen meer dan 80 computers over de hele wereld werden geïnfecteerd.
Het rapport stelt dat de malware verschillende methoden gebruikt om de computers van slachtoffers binnen te dringen, waaronder encryptie, verduistering en het gebruik van willekeurige bestandsnamen om het installatieproces te verhullen. Het is ook bekend dat de miner tijdens het opstartproces geen bestanden gebruikt en kwaadaardige code rechtstreeks in het geheugen uitvoert. Hierdoor laat het zeer weinig sporen achter om zijn aanwezigheid vast te leggen. Om detectie te voorkomen, onderschept Dexphot legitieme Windows-processen, waaronder unzip.exe, rundll32.exe, msiexec.exe, enz.
Als een gebruiker malware van een computer probeert te verwijderen, worden bewakingsdiensten geactiveerd en wordt er opnieuw geïnfecteerd. Het rapport merkt op dat Dexphot is geïnstalleerd op computers die al zijn geïnfecteerd. Als onderdeel van de huidige campagne bereikt de malware systemen die zijn geïnfecteerd met het ICLoader-virus. Schadelijke modules worden gedownload van verschillende URL's, die ook worden gebruikt om de malware te updaten en herinfectie uit te voeren.
“Deexphot is niet het type aanval dat media-aandacht trekt. Dit is een van de vele campagnes die al heel lang bestaan. Het doel ervan is wijdverbreid in kringen van cybercriminelen en komt neer op het installeren van een cryptocurrency-miner die in het geheim computerbronnen gebruikt ten behoeve van aanvallers”, zegt Microsoft Defender ATP-malware-analist Hazel Kim.
Bron: 3dnews.ru