Microsoftovi varnostni strokovnjaki so uporabnike opozorili na napade rudarja kriptovalut Dexphot, ki že od oktobra lani cilja na računalnike z operacijskim sistemom Windows. Največja aktivnost zlonamerne programske opreme je bila zabeležena junija letos, ko je bilo okuženih več kot 80 računalnikov po vsem svetu.
Poročilo navaja, da za prodiranje v računalnike žrtev zlonamerna programska oprema uporablja različne metode, da obide zaščito, vključno s šifriranjem, zamegljevanjem in uporabo naključnih imen datotek za prikrivanje postopka namestitve. Znano je tudi, da rudar med postopkom zagona ne uporablja nobenih datotek in izvaja zlonamerno kodo neposredno v pomnilniku. Zaradi tega pušča zelo malo sledi, ki bi zabeležile njegovo prisotnost. Da bi se izognil zaznavanju, Dexphot prestreže zakonite procese Windows, vključno z unzip.exe, rundll32.exe, msiexec.exe itd.
Če uporabnik poskuša odstraniti zlonamerno programsko opremo iz računalnika, se sprožijo nadzorne storitve in sproži se ponovna okužba. Poročilo ugotavlja, da je Dexphot nameščen na računalnikih, ki so že bili okuženi. Kot del trenutne kampanje zlonamerna programska oprema doseže sisteme, okužene z virusom ICLoader. Zlonamerni moduli se prenesejo z več URL-jev, ki se uporabljajo tudi za posodobitev zlonamerne programske opreme in izvedbo ponovne okužbe.
»Dexphot ni vrsta napada, ki pritegne pozornost medijev. To je ena od mnogih kampanj, ki obstajajo že dolgo časa. Njegov namen je zelo razširjen v krogih kibernetskega kriminala in se omejuje na namestitev rudarja kriptovalut, ki skrivaj uporablja računalniške vire v korist napadalcev,« je povedala analitičarka zlonamerne programske opreme Microsoft Defender ATP Hazel Kim.
Vir: 3dnews.ru