Los expertos en seguridad de Microsoft acaban de identificar un nuevo tipo de minero de criptomonedas que ha infectado a casi 80.000 ordenadores con sistema Windows desde el pasado mes de octubre.
De acuerdo con estos, el minero, que ha sido bautizado como Dexphot, infectó todos los dispositivos en junio de 2019. Los expertos aseguran que Dexphot utiliza mecanismos más complejos que los programas convencionales de cripto-jacking: ejecución sin archivos, polimorfismo y mecanismos inteligentes.
Cabe destacar que Dexphot ha estado funcionado en ordenadores que ya habían sido infectados previamente con el virus ICLoader.
Para ejecutar su código malicioso, el programa utiliza procesos internos de Windows, como msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe y powershell.exe, por lo que resulta realmente difícil distinguirlo de otras aplicaciones locales.
Los hackers que utilizan Dexphot cambian los nombres de archivo y las URLs utilizadas en el proceso de infección cada 20-30 minutos con el fin de dificultar la identificación del minero.
Aunque Dexphot siempre utiliza algún tipo de minero de criptomonedas, esto no siempre es el mismo minero. Ha utilizado diferentes programas como XMRig y JCE Miner a lo largo de la investigación.
Además, Dexphot es capaz de volver a activarse en un ordenador si este es detectado por un antivirus debido a que se actualiza cada 90-110 minutos o tras cada reinicio del sistema.