世界中で8万台のコンピュータがマイニングのために乗っ取られている。偽装技術は極めて高度で、繰り返しインストールされるだろう。

出典: ITホーム

マイクロソフトは、2018年に初めて発見されて以来、8万台以上のデバイスに感染しているDexphotと呼ばれる新しいマルウェアの亜種について詳述した警告を公開した。

ハッカーは主にデータを盗むためではなく、暗号通貨をマイニングするためにDexphotを使用していると報告されています。このウイルスは比較的無害ですが、使用される手法は非常に複雑であるため、従来のセキュリティ ツールによる検出を回避できます。その技術の 1 つはポリモーフィック カモフラージュであり、コンピューター上の痕跡を 20 ～ 30 分ごとに絶えず変更することができます。マイニングに十分な時間を確保するために、再インストールすることも可能です。

Dexphot は、2 つの URL を持つインストーラーを含む 5 つの主要ファイルをディスクに書き込みます。いずれかの URL からパスワードで保護された zip ファイルとしてダウンロードされた MSI パッケージ。アーカイブから抽出されたローダー DRL。暗号化されたデータ ファイルで、3 つの追加の実行可能ファイルがシステム プロセスにロードされます。

「インストーラー以外にも、実行中に実行される他のプロセスは正当なシステムプロセスです。これにより、検出と修復が困難になる可能性があります」と研究者は指摘しています。 「後の段階では、Dexphot は svchost.exe、tracert.exe、setup.exe など、他のいくつかのシステム プロセスをホローイングの対象とします。」

現在、Microsoft が検出率の向上と攻撃のブロックのための適切な戦略を展開しているため、感染したデバイスの数は徐々に減少しています。今年7月31日時点でその数は1万人未満となっている。