Cyberthreat.id – Kampanye serangan malware Dexphot yang menyerang komputer untuk menambang mata uang kripto (cryptocurrency) terungkap oleh peneliti Microsoft Defender ATP Research Team dalam laporan terbarunya.

Peneliti menyatakan, sekitar 80.000 perangkat terdeteksi diserang Dexphot. Peneliti pertama kali menemukan Dexphot pada Oktober 2018 dan melihat puncak aktivitasnya selama Juli lalu.

Menurut peneliti, Dexphot memiliki rantai serangan yang kompleks dan juga menggunakan berbagai metode untuk menghindari deteksi antivirus di perangkat, demikian seperti dikutip dari ThreatPost, Kamis (27 November 2019).

Menurut Hazel Kim, peneliti Microsoft Research Defender ATP Research Team, sasaran malware tersebut sangat umum. Yang jelas, malware ini setelah menginfeksi perangkat melalui jaringan, lalu memasang “penambang koin” yang secara diam-diam mencuri sumber daya komputer dan menghasilkan pendapatan bagi para penjahat siber.

Sayangnya, peneliti tidak menjelaskan bagaimana Dexphot pada awalnya menyebar. Selama tahap eksekusi awal, Dexphot pertama-tama menulis lima file kunci ke disk. Dengan pengecualian satu file, installer dengan dua URL. Sebagian besar file ini adalah proses yang sah sehingga membuat deteksi malware sulit.

Lima file itu antara lain msiexec.exe berfungsi untuk menginstal paket MSI, rundll32.exe berguna untuk memuat DLL loader, yang kemudian mengunduh arsip ZIP yang dilindungi kata sandi, unzip.exe untuk mengekstrak file dari kata sandi arsip ZIP yang dilindungi, schtasks.exe untuk tugas yang dijadwalkan, dan powershell.exe untuk pembaruan yang dipaksakan.

Setelah berjalan, penginstal akan menggunakan dua URL untuk mengunduh muatan berbahaya. Dexphot juga menggunakan dua URL ini untuk membangun kekuatan, memperbarui malware dan menginfeksi ulang perangkat.

Rantai serangan malware akan berakhir dengan diluncurkannya penambang cryptocurrency pada sistem yang telah dikompromikan, yang kemudian menghabiskan sumber daya dari perangkat tersebut untuk menambang untuk cryptocurrency. Malware mengalihkan penambang dan menyebarkan XMRig dan JCE Miner.

Para peneliti mengatakan bahwa malware memuncak selama Juli dengan lebih dari 80.000 infeksi. Sejak itu, laporan perilaku berbahaya turun ke tingkat rendah. Dexphot bukanlah jenis serangan yang menghasilkan perhatian media arus utama. Namun, ini salah satu kampanye malware yang tak terhitung jumlahnya yang aktif pada waktu tertentu.

Redaktur: Andi Nugroho