Dexphot
Zlonamjerni softver Dexphot prilično je sofisticiran rudar kriptovalute koji je programiran za ciljanje strojeva koji pokreću Windows. Prijetnje ove vrste obično djeluju na vrlo sličan način - inficiraju host, a zatim upotrebljavaju računalnu snagu sustava za iskopavanje kripto-valute, koja se prenosi operaterima rudara. Prijetnja Dexphotom prvi se put našla na radaru istraživača zlonamjernog softvera još u 2018. godini, ali njegova se aktivnost postupno povećava, dostigavši vrhunac u lipnju 2019. Prema izvješćima, u lipnju ove godine, rudar Dexphota kompromitirao je više od 90 000 sustava navodno oko svijeta.
Sadržaj
Ostati ispod radara korisnika i analitičara
Autori rudara Dexphot uložili su mnogo napora kako bi osigurali da ove žrtve ne otkriju žrtve. To se postiže funkcioniranjem u načinu bez datoteke - rudar Dexphot prvo bi stavio svoje datoteke na infiltrirani domaćin, a zatim ih premjestio u memoriju sustava, čineći daleko vjerojatnijim da ostavi tragove prijeteće aktivnosti. To ne samo da znatno manje vjerovatno da žrtva uoči prijetnju, već također čini posao analitičara zlonamjernih softvera mnogo težim. Nadalje, tvorci rudara Dexphot također su implementirali tehniku koja se naziva "living-off-the-land" koja omogućuje prijetnju da se unese njen kod u Windows postupke koji su zakoniti i koji rade putem njih. Uz sve to, kripto-valuta rudar Dexphot dizajnirana je za rad na polimorfni način. To znači da, kako bi izbjegao da ih primijete alati i aplikacije za cyber-sigurnost, rudar Dexphot redovito mijenja potpise, URL-ove i imena. Alati protiv zlonamjernog softvera često se oslanjaju na otkrivanje obrazaca kada traže prijetnje, a rudar Dexphot koristi svoju polimorfnu prirodu kako bi zbunio bilo koju antivirusnu aplikaciju koja može biti prisutna na kompromitiranom domaćinu.
Dobivanje upornosti
Nakon što je rudar kriptovalute Dexphot infiltrirao sustav, postarat će se ključevi registra sustava Windows kako bi stekao upornost. Ova prijetnja bi također osigurala da se pokreće svaki put kada korisnici ponovo pokreću svoje sustave zakazivanjem različitih zadataka. Zadaci dotični mogu poslužiti u različite svrhe - zahvaljujući njima, Dexphot rudar može se ažurirati, a isto tako ponovno inficirati host čak i ako prijetnja bude izbrisana s kompromitiranog računala. Ovo posljednje pokazuje koliko su truda autori rudara Dexphot uložili u upornost ove prijetnje, jer mnogo tvorca rudara kripto-valute ne ide toliko daleko.
Koristi hardver za žrtve kako bi minirao kriptovalute
Unatoč svojoj impresivnoj funkcionalnosti kada je u pitanju upornost i tihi rad, Dexphot rudar, u svojoj biti, prilično je osnovni i ne previše se razlikuje od većine ovakvih prijetnji. Istraživači zlonamjernog softvera nagađaju da se Dexphot rudar isporučuje kao opterećenje drugog stupnja kompromitiranog domaćina, ali ta se teorija tek treba potvrditi. Nakon što se rudar uspješno postavi na ciljani sustav, prijetnja Dexphotom započet će s miniranjem kriptovaluta koristeći hardver žrtve. To može ne samo dovesti do problema s performansama, već će vjerojatno i skratiti životni vijek sustava ako Dexphot rudar radi dulje vrijeme.
Dexphot rudar kriptovalute prilično je zanimljiva prijetnja koja je uspjela zaraziti impresivan broj sustava. Unatoč tome što imamo približan broj žrtava, ne možemo reći koliko su novca uložili autori rudara Dexphot. Da biste zaštitili sustav od prijetnji poput Dexphota, obavezno preuzmite i instalirajte zakoniti sigurnosni paket protiv zlonamjernog softvera i ne zaboravite redovito ažurirati sav svoj softver.
