Microsoft обнаружила криптовалютный майнер, атаковавший почти 80 000 компьютеров

Microsoft обнаружила криптовалютный майнер, атаковавший почти 80 000 компьютеров

Инженеры по безопасности Microsoft рассказали о новой разновидности криптовалютного майнера Dexphot, который с октября 2018 года заразил почти 80 000 компьютеров под управлением Windows.

Своего пика вредонос достиг в июне 2019 года.

dexphot-encounters-e1574837983869.png (78 KB)

Специалисты Microsoft подчеркнули довольно высокий уровень сложности новой программы для криптоджекинга. Она использует безфайловое выполнение, метод полиморфизма, а также интеллектуальные и избыточные механизмы сохранения загрузки.

Dexphot распространяется на компьютеры, которые ранее были заражены вредоносом ICLoader, и запускается в памяти компьютера.

Для выполнения вредоносного кода программа использует внутренние процессы Windows, такие как msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe и powershell.exe, что делает ее неотличимой от других локальных приложений.

Каждые 20-30 минут операторы Dexphot меняют имена файлов и URL-адреса, используемые в процессе заражения, что также усложняет обнаружение майнера.

1dexphot-malware-code-b.png (42 KB)

При этом Dexphot использует различные майнеры криптовалюты, например, XMRig или JCE Miner.

ПО также обладает способностью восстанавливаться из резервной копии, каждые 90 или 110 минут, если какая-либо из его частей было обнаружена антивирусом.

Благодаря предпринятым Microsoft мерам, заражения майнером Dexphot в последние месяцы удалось значительно сократить.

Источник: forklog.com