Eksperci ds. bezpieczeństwa firmy Microsoft ostrzegali użytkowników przed atakami ze strony koparki kryptowalut o nazwie Dexphot, która od października ubiegłego roku atakuje komputery z systemem Windows. Szczyt aktywności szkodliwego oprogramowania odnotowano w czerwcu tego roku, kiedy zainfekowanych zostało ponad 80 000 komputerów na całym świecie.
Z raportu wynika, że aby przedostać się do komputerów ofiar, szkodliwe oprogramowanie wykorzystuje różne metody obejścia ochrony, w tym szyfrowanie, zaciemnianie i wykorzystywanie losowych nazw plików w celu ukrycia procesu instalacji. Wiadomo również, że górnik nie wykorzystuje żadnych plików podczas procesu uruchamiania, wykonując szkodliwy kod bezpośrednio w pamięci. Z tego powodu pozostawia bardzo niewiele śladów rejestrujących swoją obecność. Aby uniknąć wykrycia, Dexphot przechwytuje legalne procesy systemu Windows, w tym unzip.exe, rundll32.exe, msiexec.exe itp.
Jeśli użytkownik spróbuje usunąć złośliwe oprogramowanie z komputera, uruchamiane są usługi monitorowania i inicjowana jest ponowna infekcja. W raporcie zauważono, że Dexphot jest instalowany na komputerach, które zostały już zainfekowane. W ramach bieżącej kampanii szkodliwe oprogramowanie dociera do systemów zainfekowanych wirusem ICLoader. Złośliwe moduły są pobierane z kilku adresów URL, które są również wykorzystywane do aktualizacji złośliwego oprogramowania i przeprowadzania ponownej infekcji.
„Dexphot nie jest typem ataku, który przyciąga uwagę mediów. To jedna z wielu kampanii, które trwają już od dłuższego czasu. Jego cel jest szeroko rozpowszechniony w kręgach cyberprzestępczych i sprowadza się do zainstalowania koparki kryptowalut, która potajemnie wykorzystuje zasoby komputera na korzyść atakujących” – powiedziała Hazel Kim, analityk złośliwego oprogramowania Microsoft Defender ATP.
Źródło: 3dnews.ru