Microsoft güvenlik uzmanları, Dexphot adlı bir kripto para madenciliği yazılımının çalıştıran bilgisayarlara yönelik saldırıları konusunda kullanıcıları uyardı. Windows Geçen yılın Ekim ayından bu yana. Kötü amaçlı yazılımın en yüksek aktivitesi bu yılın Haziran ayında kaydedildi ve dünya çapında 80.000'den fazla bilgisayar enfekte oldu.
Raporda, kötü amaçlı yazılımın kurbanların bilgisayarlarına sızmak için şifreleme, gizleme ve kurulum sürecini gizlemek için rastgele dosya adları kullanma gibi çeşitli kaçınma yöntemleri kullandığı belirtiliyor. Ayrıca, madencinin başlatma sırasında herhangi bir dosya kullanmadığı ve kötü amaçlı kodunu doğrudan bellekte çalıştırdığı biliniyor. Bu nedenle, varlığının tespit edilmesini sağlayacak çok az iz bırakıyor. Tespit edilmekten kaçınmak için Dexphot, meşru süreçleri ele geçiriyor. WindowsBunlara unzip.exe, rundll32.exe, msiexec.exe vb. dahildir.
Bir kullanıcı kötü amaçlı yazılımı bilgisayardan kaldırmaya çalışırsa izleme hizmetleri tetiklenir ve yeniden bulaşma başlatılır. Raporda, Dexhot'un halihazırda virüs bulaşmış olan bilgisayarlara yüklendiği belirtiliyor. Mevcut kampanyanın bir parçası olarak kötü amaçlı yazılım, ICLoader virüsü bulaşmış sistemlere ulaşıyor. Kötü amaçlı modüller, kötü amaçlı yazılımı güncellemek ve yeniden bulaşmayı gerçekleştirmek için de kullanılan çeşitli URL'lerden indirilir.
“Dexphot medyanın ilgisini çekecek türden bir saldırı değil. Bu, uzun süredir devam eden birçok kampanyadan biri. Amacı siber suç çevrelerinde oldukça yaygın ve saldırganların yararına bilgisayar kaynaklarını gizlice kullanan bir kripto para madencisi kurmaktan ibaret" dedi Microsoft Defender ATP kötü amaçlı yazılım analisti Hazel Kim.
Kaynak: 3dnews.ru
