ผู้เชี่ยวชาญด้านความปลอดภัยของ Microsoft ได้เตือนผู้ใช้เกี่ยวกับการโจมตีจากเครื่องมือขุดเหมือง cryptocurrency ชื่อ Dexphot ซึ่งกำหนดเป้าหมายไปที่คอมพิวเตอร์ Windows ตั้งแต่เดือนตุลาคมปีที่แล้ว กิจกรรมสูงสุดของมัลแวร์นี้ถูกบันทึกไว้ในเดือนมิถุนายนของปีนี้ เมื่อมีคอมพิวเตอร์มากกว่า 80 เครื่องทั่วโลกติดไวรัส
รายงานระบุว่ามัลแวร์จะเจาะคอมพิวเตอร์ของเหยื่อโดยใช้วิธีการต่างๆ เพื่อหลีกเลี่ยงการป้องกัน รวมถึงการเข้ารหัส การสร้างความสับสน และการใช้ชื่อไฟล์แบบสุ่มเพื่อปกปิดกระบวนการติดตั้ง เป็นที่ทราบกันดีว่านักขุดไม่ได้ใช้ไฟล์ใดๆ ในระหว่างกระบวนการเริ่มต้น โดยทำการรันโค้ดที่เป็นอันตรายในหน่วยความจำโดยตรง ด้วยเหตุนี้จึงทิ้งร่องรอยไว้น้อยมากในการบันทึกการมีอยู่ของมัน เพื่อหลีกเลี่ยงการตรวจจับ Dexphot จะดักจับกระบวนการ Windows ที่ถูกต้อง รวมถึง unzip.exe, rundll32.exe, msiexec.exe เป็นต้น
หากผู้ใช้พยายามลบมัลแวร์ออกจากคอมพิวเตอร์ บริการตรวจสอบจะถูกเรียกใช้และเริ่มการติดไวรัสซ้ำ รายงานระบุว่ามีการติดตั้ง Dexphot บนคอมพิวเตอร์ที่ติดไวรัสแล้ว ในส่วนของแคมเปญปัจจุบัน มัลแวร์จะเข้าถึงระบบที่ติดไวรัส ICLoader โมดูลที่เป็นอันตรายจะถูกดาวน์โหลดจากหลาย URL ซึ่งใช้เพื่ออัปเดตมัลแวร์และดำเนินการติดไวรัสอีกครั้ง
“Dexphot ไม่ใช่การโจมตีประเภทที่ได้รับความสนใจจากสื่อ นี่เป็นหนึ่งในหลายแคมเปญที่มีมายาวนาน จุดประสงค์ของมันแพร่หลายในแวดวงอาชญากรไซเบอร์และมุ่งเป้าไปที่การติดตั้งเครื่องขุดสกุลเงินดิจิทัลที่แอบใช้ทรัพยากรคอมพิวเตอร์เพื่อประโยชน์ของผู้โจมตี” Hazel Kim นักวิเคราะห์มัลแวร์ Microsoft Defender ATP กล่าว
ที่มา: 3dnews.ru