Microsoft güvenlik uzmanları, kullanıcıları geçen yılın Ekim ayından bu yana Windows bilgisayarlarını hedef alan Dexhot adlı bir kripto para madencisinin saldırılarına karşı uyardı. Kötü amaçlı yazılımın en yüksek etkinliği, dünya çapında 80'den fazla bilgisayarın etkilendiği bu yılın Haziran ayında kaydedildi.
Raporda, kötü amaçlı yazılımın kurbanların bilgisayarlarına sızmak için korumayı aşmak amacıyla şifreleme, gizleme ve kurulum sürecini gizlemek için rastgele dosya adlarının kullanılması gibi çeşitli yöntemler kullandığı belirtiliyor. Ayrıca madencinin başlatma işlemi sırasında herhangi bir dosya kullanmadığı, kötü amaçlı kodu doğrudan bellekte çalıştırdığı da biliniyor. Bu nedenle varlığını kaydedecek çok az iz bırakır. Tespit edilmekten kaçınmak için Dexhot, unzip.exe, rundll32.exe, msiexec.exe vb. dahil meşru Windows işlemlerini engeller.
Bir kullanıcı kötü amaçlı yazılımı bilgisayardan kaldırmaya çalışırsa izleme hizmetleri tetiklenir ve yeniden bulaşma başlatılır. Raporda, Dexhot'un halihazırda virüs bulaşmış olan bilgisayarlara yüklendiği belirtiliyor. Mevcut kampanyanın bir parçası olarak kötü amaçlı yazılım, ICLoader virüsü bulaşmış sistemlere ulaşıyor. Kötü amaçlı modüller, kötü amaçlı yazılımı güncellemek ve yeniden bulaşmayı gerçekleştirmek için de kullanılan çeşitli URL'lerden indirilir.
“Dexphot medyanın ilgisini çekecek türden bir saldırı değil. Bu, uzun süredir devam eden birçok kampanyadan biri. Amacı siber suç çevrelerinde oldukça yaygın ve saldırganların yararına bilgisayar kaynaklarını gizlice kullanan bir kripto para madencisi kurmaktan ibaret" dedi Microsoft Defender ATP kötü amaçlı yazılım analisti Hazel Kim.
Kaynak: 3dnews.ru