Инженеры по безопасности Microsoft рассказали о новой разновидности криптовалютного майнера Dexphot, который с октября 2018 года заразил почти 80 000 компьютеров под управлением Windows.
Своего пика вредонос достиг в июне 2019 года.
Специалисты Microsoft подчеркнули довольно высокий уровень сложности новой программы для криптоджекинга. Она использует безфайловое выполнение, метод полиморфизма, а также интеллектуальные и избыточные механизмы сохранения загрузки.
Dexphot распространяется на компьютеры, которые ранее были заражены вредоносом ICLoader, и запускается в памяти компьютера.
Для выполнения вредоносного кода программа использует внутренние процессы Windows, такие как msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe и powershell.exe, что делает ее неотличимой от других локальных приложений.
Каждые 20-30 минут операторы Dexphot меняют имена файлов и URL-адреса, используемые в процессе заражения, что также усложняет обнаружение майнера.
При этом Dexphot использует различные майнеры криптовалюты, например, XMRig или JCE Miner.
ПО также обладает способностью восстанавливаться из резервной копии, каждые 90 или 110 минут, если какая-либо из его частей было обнаружена антивирусом.
Благодаря предпринятым Microsoft мерам, заражения майнером Dexphot в последние месяцы удалось значительно сократить.
Источник: forklog.com
