Os especialistas em segurança da Microsoft divulgaram informações sobre o ataque de um minerador de criptomoedadas chamado Dexphot. Desde outubro de 2018 essa ameaça já infectou mais de 800.000 dispositivos com sistema operacional Windows. O pico de infecções aconteceu esse ano, em junho.
O relatório diz que, para infectar os computadores das vítimas, o malware usa vários métodos para contornar a proteção, incluindo criptografia, e o uso de nomes aleatórios de arquivos para mascarar o processo de instalação. Também é reconhecido que o minerador não usa nenhum arquivo durante o processo de inicialização, executando código malicioso diretamente na memória. Por conta disso, ele deixa poucos traços para constatar sua presença. Para evitar a detecção, o Dexphot intercepta processos legítimos do Windows, incluindo unzip.exe, rundll32.exe, msiexec.exe, etc.
“Dexphot não é o tipo de ataque que gera a atenção da mídia convencional; é uma das inúmeras campanhas de malware que estão ativas a qualquer momento. Seu objetivo é muito comum nos círculos cibercriminosos – instalar uma mineração de moedas que rouba silenciosamente recursos do computador e gera receita para os hackers”, explicou Hazel Kim, analista de malware da equipe de pesquisa Microsoft Defender ATP.
Se um usuário tentar remover o malware do computador, os serviços de monitoramento serão acionados e a reinfecção será iniciada. Os módulos maliciosos são baixados de vários URLs, que também são usados para atualizar o malware e restabelecer a infecção.
Você também deve ler!
Top 10: termos mais comuns relacionados ao mundo das criptomoedas
Juice Jacking: o ataque que rouba seus dados quando você utiliza um carregador público
QRLjacking: como funciona o golpe que sequestra contas do WhatsApp via QR Code