Microsofts säkerhetsexperter har varnat användare för attacker från en gruvarbetare för kryptovaluta som heter Dexphot, som har riktat sig mot Windows-datorer sedan oktober förra året. Skadlig programvaras toppaktivitet registrerades i juni i år, då mer än 80 000 datorer runt om i världen infekterades.
Rapporten säger att för att penetrera offrens datorer använder den skadliga programvaran olika metoder för att kringgå skydd, inklusive kryptering, fördunkling och användning av slumpmässiga filnamn för att dölja installationsprocessen. Det är också känt att gruvarbetaren inte använder några filer under startprocessen och exekverar skadlig kod direkt i minnet. På grund av detta lämnar den väldigt få spår för att registrera sin närvaro. För att undvika upptäckt avlyssnar Dexphot legitima Windows-processer, inklusive unzip.exe, rundll32.exe, msiexec.exe, etc.
Om en användare försöker ta bort skadlig programvara från en dator utlöses övervakningstjänster och återinfektion initieras. Rapporten noterar att Dexphot är installerat på datorer som redan har infekterats. Som en del av den pågående kampanjen når skadlig programvara system som är infekterade med ICLoader-viruset. Skadliga moduler laddas ner från flera webbadresser, som också används för att uppdatera skadlig programvara och utföra återinfektion.
"Dexphot är inte den typ av attack som lockar uppmärksamhet i media. Detta är en av många kampanjer som har funnits länge. Dess syfte är utbrett i cyberkriminella kretsar och handlar om att installera en gruvarbetare för kryptovaluta som i hemlighet använder datorresurser till förmån för angripare”, säger Hazel Kim, analytiker för skadlig programvara från Microsoft Defender ATP.
Källa: 3dnews.ru