Eksperci ds. bezpieczeństwa firmy Microsoft ostrzegają użytkowników przed atakami ze strony koparki kryptowalut o nazwie Dexphot, która atakuje komputery z systemem operacyjnym Windows Od października ubiegłego roku. Szczyt aktywności złośliwego oprogramowania odnotowano w czerwcu tego roku, kiedy zainfekowanych zostało ponad 80 000 komputerów na całym świecie.
W raporcie stwierdzono, że złośliwe oprogramowanie wykorzystuje różne metody unikania, aby przeniknąć do komputerów ofiar, w tym szyfrowanie, zaciemnianie kodu i używanie losowych nazw plików w celu zamaskowania procesu instalacji. Wiadomo również, że koparka nie używa żadnych plików podczas uruchamiania, wykonując swój złośliwy kod bezpośrednio w pamięci. Dzięki temu pozostawia bardzo mało śladów, które pozwoliłyby na wykrycie jego obecności. Aby uniknąć wykrycia, Dexphot przechwytuje legalne procesy. Windows, w tym unzip.exe, rundll32.exe, msiexec.exe itp.
Jeśli użytkownik próbuje usunąć złośliwe oprogramowanie z komputera, uruchamiane są usługi monitorujące i rozpoczyna się ponowna infekcja. W raporcie zauważono, że Dexphot jest instalowany na komputerach, które już zostały zainfekowane. W ramach obecnej kampanii złośliwe oprogramowanie jest dostarczane do systemów zainfekowanych wirusem ICLoader. Złośliwe moduły pobierane są z różnych adresów URL i służą również do aktualizacji złośliwego oprogramowania oraz przeprowadzania ponownej infekcji.
„Dexphot nie jest typem ataku, który przyciąga uwagę mediów. To jedna z wielu kampanii, które trwają od dłuższego czasu. Jej cel jest szeroko rozpowszechniony w kręgach cyberprzestępców i sprowadza się do zainstalowania programu do kopania kryptowalut, który potajemnie wykorzystuje zasoby komputera na korzyść atakujących” — powiedziała Hazel Kim, analityk ds. złośliwego oprogramowania w zespole badawczym Microsoft Defender ATP.
Źródło: 3dnews.ru
