Специалисты по информационной безопасности из Microsoft предупредили пользователей об атаках криптовалютного майнера под названием Dexphot, который атакует компьютеры под управлением Windows с октября прошлого года. Пиковая активность вредоноса зафиксирована в июне этого года, когда было заражено более 80 000 компьютеров по всему миру.
В отчёте говорится о том, что для проникновения на компьютеры жертв вредонос использует разные методы обхода защиты, в том числе шифрование, обфускацию и применение случайных имён файлов для маскировки процесса установки. Также известно, что майнер не использует какие-либо файлы в процессе запуска, выполняя вредоносный код непосредственно в памяти. Из-за этого он оставляет крайне мало следов, позволяющих зафиксировать его присутствие. Чтобы избежать обнаружения, Dexphot осуществляет перехват легитимных процессов Windows, в том числе unzip.exe, rundll32.exe, msiexec.exe и др.
Если пользователь пытается удалить вредонос с компьютера, то срабатывают службы мониторинга и происходит инициация повторного заражения. В отчёте отмечается, что Dexphot устанавливается на компьютеры, которые уже были заражены. В рамках текущей кампании вредонос попадает в системы, заражённые вирусом ICLoader. Вредоносные модули загружаются с нескольких URL-адресов, которые также используются для обновления вредоноса и проведения повторного заражения.
«Dexphot — это не тот тип атаки, который привлекает внимание средств массовой информации. Это одна из многочисленных кампаний, существующих длительное время. Её цель широко распространена в киберпреступных кругах и сводится установке майнера криптовалют, который скрытно использует ресурсы компьютера на благо злоумышленников», — сказал аналитик по вредоносным программам исследовательской группы Microsoft Defender ATP Хейзел Ким (Hazel Kim).
Манбаъ: 3dnews.ru