Майнер криптовалюты Dexphot заразил десятки тысяч компьютеров

28 ноября 2019, 17:33 / Технологии → Софт

Эксперты по информационной безопасности из Microsoft

Microsoft Corporation (произносится «ма́йкрософт»; как правило, именуется просто Microsoft; распространено сокращение MS) — одна из крупнейших транснациональных компаний по производству проприетарного программного обеспечения для различного рода вычислительной техники — персональных компьютеров, игровых приставок, КПК, мобильных телефонов и прочего, разработчик наиболее широко распространённой на данный момент в мире программной платформы — семейства операционных систем Windows. Подразделения компании также производят семейство игровых консолей Xbox, а также аксессуары для персональных компьютеров (клавиатуры, мыши и т. д.). C 2012 года производит собственный планшетный компьютер — Surface. Википедия

предупредили об атаках криптовалютного майнера под наименованием Dexphot, который атакует компьютеры под управлением Windows с октября 2017 года. Пиковая активность вируса зафиксирована в июне 2018 года, когда было заражено более 80 000 компьютеров по всему миру.

В отчёте сказано, что для проникновения на компьютеры жертв вредонос Dexphot различные методы обхода защиты, в том числе шифрование, обфускацию и применение случайных имён файлов для маскировки процесса установки. Также известно, что майнер не применит какие-либо файлы в процессе запуска, выполняя вредоносный код непосредственно в памяти. Из-за этого он оставляет слишком мало следов, позволяющих зафиксировать его присутствие. Чтобы избежать обнаружения, Dexphot осуществляет перехват легитимных процессов Windows, в том числе unzip.exe, rundll32.exe, msiexec.exe и др.

При попытке удалить вирус с компьютера срабатывают службы мониторинга и происходит инициация повторного заражения. В отчёте отмечается, что Dexphot устанавливается на компьютеры, которые уже были заражены. В ходе текущей кампании вредонос попадает в системы, которые заражёны вирусом ICLoader. Вредоносные модули загружаются с нескольких URL-адресов, которые также используются для обновления Dexphot и проведения повторного заражения.

«Dexphot — это не тот тип атаки, который обращает на себя внимание средств массовой информации. Это одна из многочисленных кампаний, действующих длительное время. Её цель широко распространена в киберпреступных кругах и сводится к установке майнера криптовалют, который незаметно применит ресурсы компьютера на благо злоумышленников», — сказал аналитик по вредоносным программам исследовательской группы Microsoft Defender ATP Хейзел Ким (Hazel Kim).