Um novo malware descoberto pela Microsoft está tomando o controle de computadores com o sistema Windows para minerar criptomoedas de forma invisível. Chamado de Dexphot, o código malicioso está ativo desde outubro de 2018 e é o grande responsável por alguns estragos significativos, de acordo com a empresa. 

Seu pico de infeção se deu em junho deste ano. A essa altura, o malware tinha sob o seu controle mais de 800 mil máquinas em toda a internet: todas empenhadas em minerar criptomoedas para proveito dos atacantes. Curiosamente, os invasores não cogitavam roubar dados das suas vítimas posteriormente.

O modo de funcionamento do Dexphot é bem complexo, sendo muito complicado apagar o arquivo da máquina. Ele afeta inicialmente dois processos bem conhecidos do Windows, explorando vulnerabilidades no svchost.exe e no nslookup.exe. Em um segundo momento, o Dexphot tentava infectar as máquinas a cada 90 minutos.

Reprodução

A complexidade do malware consiste em vários aspectos. O mais relevante é o seu polimorfismo, que permite que ele altere nomes e tamanhos de arquivos para passar despercebido pelas ferramentas de segurança. O Dexphot procurava sempre usar processos de sistema, e não ter arquivos próprios, para minerar criptomoedas. É esta capacidade que o torna ainda mais perigoso.

Outro fato relevante é que o malware procurava se instalar em máquinas nas quais outro malware estivesse operando. Desta forma, ele não seria o alvo principal e, mesmo que fosse detectado, voltaria a infectar a máquina. Por sorte, a Microsoft conseguiu controlar o Dexphot e os ataques estão diminuindo.

Fonte: PPLWare