Специалисты компании Microsoft по безопасности обнаружили новый вид криптовалютного майнера, который с октября прошлого года заразил почти 80 тыс. компьютеров на ОС Windows.
Как сообщают инженеры, активней всего майнер Dexphot действовал в июне 2019 года. Специалисты подчеркивают, что Dexphot использует более сложные механизмы, чем обычные программы для криптоджекинга: безфайловое выполнение, метод полиморфизма, а также интеллектуальные и избыточные механизмы сохранения загрузки.
Отметим, что Dexphot действовал на компьютерах, которые уже были заражены вирусом ICLoader, и запускался в памяти компьютера.
Для выполнения вредоносного кода программа использует внутренние процессы Windows, такие как msiexec.exe, unzip.exe, cryptofans.cryptofans.rundll32.exe, schtasks.exe и powershell.exe, поэтому ее трудно отличить от других локальных приложений.
Каждые 20?30 минут операторы Dexphot меняют имена файлов и URL-адреса, используемые в процессе заражения, что также усложняет обнаружение майнера.
При этом Dexphot использует различные майнеры криптовалюты, например, XMRig или JCE Miner.
Также программа Dexphot умеет восстанавливаться из резервной копии каждые 90 или 110 минут, если какая-то из ее частей была обнаружена антивирусом.
