Инженеры по безопасности Microsoft рассказали о новой разновидности криптовалютного майнера Dexphot, который с октября 2018 года заразил почти 80 000 компьютеров под управлением Windows.
Своего пика вредонос достиг в июне 2019 года.
Специалисты Microsoft подчеркнули довольно высокий уровень сложности новой программы для криптоджекинга. Она использует безфайловое выполнение, метод полиморфизма, а также интеллектуальные и избыточные механизмы сохранения загрузки.
Dexphot распространяется на компьютеры, которые ранее были заражены вредоносом ICLoader, и запускается в памяти компьютера.
Для выполнения вредоносного кода программа использует внутренние процессы Windows, такие как msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe и powershell.exe, что делает ее неотличимой от других локальных приложений.
Каждые 20-30 минут операторы Dexphot меняют имена файлов и URL-адреса, используемые в процессе заражения, что также усложняет обнаружение майнера.
При этом Dexphot использует различные майнеры криптовалюты, например, XMRig или JCE Miner.
ПО также обладает способностью восстанавливаться из резервной копии, каждые 90 или 110 минут, если какая-либо из его частей было обнаружена антивирусом.
Благодаря предпринятым Microsoft мерам, заражения майнером Dexphot в последние месяцы удалось значительно сократить.
Ранее ForkLog сообщал об обнаружении модуля для майнинга криптовалюты Monero, который распространяется на компьютеры посредством ботнета Stantinko. За пять лет своего существования ботнет заразил около 500 тысяч компьютеров в России, Украине, Беларуси и Казахстане.
Источник: forklog.com
Самые актуальные новости - в 
