نشر مهندسو أمن مايكروسوفت تدوينة جديدة تفصل سلالة جديدة من البرمجيات الخبيثة التي تصيب أجهزة الحاسب العاملة بنظام ويندوز منذ شهر تشرين الأول 2018 للاستيلاء على موارد الأجهزة من أجل تعدين العملات الرقمية المشفرة وتحقيق عائد مادي للمهاجمين.

ووصلت هذه البرمجية الخبيثة المسماة Dexphot إلى ذروتها في منتصف شهر حزيران من هذا العام، وذلك مع وصول شبكة البوتنت الخاصة بها إلى نحو 80 ألف جهاز حاسب مصاب.

وانخفض عدد الإصابات اليومية ببطء منذ ذلك الحين، حيث تدعي مايكروسوفت أنها نشرت تدابير مضادة لتحسين الاكتشافات ووقف الهجمات.

لكن بينما كان هدف Doxphot النهائي عاديًا، فقد تميزت أساليب وتقنيات طريقة عمل البرمجية الخبيثة بسبب ارتفاع مستوى التعقيد، وهو أمر لاحظته مايكروسوفت أيضًا.

وقالت هازل كيم Hazel Kim، محللة البرمجيات الخبيثة في فريق أبحاث Microsoft Defender ATP: إن Dexphot ليست من أنواع الهجوم الذي يشغل اهتمام وسائل الإعلام الرئيسة، في إشارة إلى مهمة البرمجيات الخبيثة المتمثلة في تعدين العملة المشفرة، بدلاً من سرقة بيانات المستخدم.

ومع ذلك، فإن Dexphot تجسد مستوى التعقيد ومعدل تطور التهديدات اليومية، والقدرة على الهروب من برمجيات الحماية بحثًا عن الربح.

ووفقًا لمايكروسوفت، فإن Dexphot هي ما يصفه باحثو الأمان بالبرامج الضارة التي يتم تشغيلها على الأنظمة المصابة بالفعل بواسطة برامج ضارة أخرى.

وفي هذه الحالة، تم تشغيل Dexphot على أجهزة الحاسب التي كانت مصابة في السابق بسلالة البرامج الضارة ICLoader، والتي يتم تثبيتها عادةً كجزء من حزم البرامج، دون علم المستخدم، أو عندما ينزل المستخدم ويثبت البرامج المقرصنة.

وتقول مايكروسوفت: إن برنامج التثبيت سيكون الجزء الوحيد من برمجية Dexphot الضارة التي سيتم كتابتها على القرص.

وتستخدم كل ملف أو عملية Dexphot أخرى تقنية تُعرف باسم "تنفيذ بلا ملفات" للتشغيل داخل ذاكرة الحاسب فقط، ما يجعل وجود البرمجية الضارة على نظام ما غير مرئي لحلول مكافحة الفيروسات الكلاسيكية المستندة إلى التوقيع.