Theo ZDNet, Dexphot là một phần mềm độc hại phức tạp được các tin tặc dùng để đào tiền ảo và kiếm tiền cho những kẻ tấn công mà không đánh cắp dữ liệu người dùng. Tuy nhiên, việc sử dụng tài nguyên hệ thống để phục vụ mục tiêu của tin tặc khiến thiết bị Windows chạy chậm đi rất nhiều.
Dexphot đạt đỉnh vào tháng 6.2019 nhưng đã được Microsoft kiểm soát sau đó Microsoft |
Các chuyên gia bảo mật tại Microsoft cho biết, phần mềm độc hại này bắt đầu với việc tác động xấu vào hai quy trình hợp pháp của Windows là svchost.exe và nslookup.exe. Sau đó, Dexphot chạy các nhiệm vụ để khiến hệ thống nạn nhân bị nhiễm cứ sau 90 phút.
Nhà phân tích phần mềm độc hại đến từ nhóm Microsoft Defender ATP, Hazel Kim, cho biết Dexphot không phải là kiểu tấn công tạo ra sự chú ý của truyền thông chính thống. Đây là một trong vô số các chiến dịch triển khai phần mềm độc hại được tin tặc sử dụng, với mục tiêu chính là cài đặt một công cụ đào tiền ảo, âm thầm lấy tài nguyên hệ thống và mang lại doanh thu cho những kẻ tấn công. Microsoft khẳng định nhiệm vụ mà Dexphot được đưa ra chỉ duy nhất là biến hệ thống bị nhiễm trở thành máy đào tiền ảo cho những kẻ phát minh ra chúng.
Điểm đáng chú ý của Dexphot là phần mềm độc hại này có khả năng “ngụy trang đa hình hóa”, có thể thay đổi tên tập tin trên máy tính cứ sau 20-30 phút lần. Chính sự phức tạp này làm cho máy tính Windows dễ bị tổn thương hơn về các khía cạnh không gian mạng.
Microsoft cho biết, Dexphot được trang bị 5 tập tin: 2 trình cài đặt URL và 3 tập tin được mã hóa. Vì tất cả các quy trình đều hợp pháp, ngoại trừ quá trình cài đặt, nên việc khôi phục rất khó khăn. Hơn nữa, Dexphot được sử dụng để làm việc trên các máy tính đã bị nhiễm phần mềm độc hại khác trước đó khiến vấn đề trở nên phức tạp hơn.
Mô tả cách thức hoạt động của Dexphot Microsoft |
Theo dự đoán của Microsoft, Dexphot có thể gây hại cho một số quy trình quan trọng khác như svchost.exe, tracert.exe và setup.exe. Hơn nữa, phần mềm độc hại này cũng sẽ sử dụng một kỹ thuật có tên “living off the land” (tạm dịch: sống trên đất liền) để lạm dụng các quy trình hợp pháp của Windows và thực thi mã độc thay vì chạy các quy trình riêng. Microsoft cho rằng Dexphot có thể sử dụng unzip.exe, powersrc.exe… cho mục đích của mình.
Mặc dù Dexphot có các cơ chế hoạt động bền bỉ mạnh mẽ nhưng nhờ vào những nỗ lực và chính sách liên quan của Microsoft, số vụ tấn công bởi phần mềm độc hại này đã liên tục giảm kể từ khi đạt đỉnh vào tháng 6.
Bình luận (0)