Фахівці з інформаційної безпеки з Microsoft попередили користувачів про атаки криптовалютного майнера під назвою Dexphot, який атакує комп'ютери під керуванням Windows із жовтня минулого року. Пікова активність шкідливості зафіксована в червні цього року, коли було заражено понад 80 000 комп'ютерів по всьому світу.
У звіті йдеться про те, що для проникнення на комп'ютери жертв шкідливість використовує різні методи обходу захисту, у тому числі шифрування, обфускування та застосування випадкових імен файлів для маскування процесу встановлення. Також відомо, що майнер не використовує будь-які файли в процесі запуску, виконуючи шкідливий код у пам'яті. Через це він залишає дуже мало слідів, що дозволяють зафіксувати його присутність. Щоб уникнути виявлення, Dexphot здійснює перехоплення легітимних процесів Windows, у тому числі unzip.exe, rundll32.exe, msiexec.exe та ін.
Якщо користувач намагається видалити шкоду з комп'ютера, спрацьовують служби моніторингу і відбувається ініціація повторного зараження. У звіті зазначається, що Dexphot встановлюється на комп'ютери, які вже були заражені. У рамках поточної кампанії шкідливість потрапляє до систем, заражених вірусом ICLoader. Шкідливі модулі завантажуються з кількох URL-адрес, які також використовуються для оновлення шкідливого та повторного зараження.
«Dexphot – це не той тип атаки, який привертає увагу засобів масової інформації. Це одна з численних кампаній, які існують тривалий час. Її мета широко поширена в кіберзлочинних колах і зводиться установці майнера криптовалют, який потай використовує ресурси комп'ютера на благо зловмисників», - сказав аналітик з шкідливих програм дослідницької групи Microsoft Defender ATP Хейзел Кім (Hazel Kim).
Джерело: 3dnews.ru