Инженеры по безопасности Microsoft рассказали о новой версии вредоносного ПО, которая заражает компьютеры под управлением Windows с октября 2018 г. Ее целью является захват ресурсов ПК для майнинга криптовалют и получения доходов для злоумышленников.
Это вредоносное ПО под названием Dexphot достигло своего пика активности в середине июня этого года, когда его ботнет охватил почти 80 000 зараженных компьютеров. С тех пор число ежедневных заражений постепенно уменьшалось, так как Microsoft утверждает, что развернула контрмеры для улучшения обнаружения и прекращения атак.
Для проникновения на компьютеры жертв вредонос использует разные методы обхода защиты, в том числе шифрование, обфускацию и применение случайных имен файлов для маскировки процесса установки. Также известно, что майнер не использует какие-либо файлы в процессе запуска, выполняя вредоносный код непосредственно в памяти. Из-за этого он оставляет крайне мало следов в системе.
Чтобы избежать обнаружения, Dexphot осуществляет перехват легитимных процессов Windows, в том числе unzip.exe, rundll32.exe, msiexec.exe и др. Если пользователь пытается удалить вредонос с компьютера, то срабатывают службы мониторинга и происходит инициация повторного заражения.
При этом Dexphot устанавливается на компьютеры, которые уже были заражены. В рамках текущей кампании вредонос попадает в системы, зараженные вирусом ICLoader. Вредоносные модули загружаются с нескольких URL-адресов, которые также используются для обновления вредоноса и проведения повторного заражения.