وقالت مايكروسوفت يوم الخميس 8 مارس أنه قبل ظهر يوم الثلاثاء، قام Windows Defender بحظر أكثر من 80 ألف حالة من هجوم البرمجيات الخبيثة الضخم الذي استخدم حصان طروادة يسمى Dofoil، المعروف أيضًا باسم Smoke Loader. خلال الـ 12 ساعة التالية قام Windows Defender بحظر 400000 حالة أخرى. حدثت معظم حالات تفشي الدخان في روسيا (73 بالمائة). يتبعإد وتركيا (18%) وأوكرانيا (4%).
Smoke Loader هو حصان طروادة يمكنه استرداد الحمولة من موقع بعيد بمجرد إصابة جهاز الكمبيوتر. كان لكما رأينا في التصحيح وهمية ل الانهيار والشبح صالمعالج vuالقدرات، والتي دامتلكت حمولات مختلفة لأغراض ضارة. ولكن بالنسبة للتفشي الحالي في روسيا والدول المجاورة لها، كانت حمولة Smoke Loader عبارة عن cryptocurrency عامل منجم.
مقاطع الفيديو الموصى بها
صرحت Microsoft: "نظرًا لاستمرار نمو قيمة Bitcoin والعملات المشفرة الأخرى، يرى مشغلو البرامج الضارة فرصة لتضمين مكونات تعدين العملات في هجماتهم". "على سبيل المثال، توفر مجموعات الاستغلال الآن أدوات تعدين العملات بدلاً من برامج الفدية. يضيف المحتالون نصوصًا برمجية لتعدين العملات المعدنية في مواقع الاحتيال الخاصة بالدعم الفني. وأضافت بعض عائلات طروادة المصرفية سلوك تعدين العملات المعدنية.
بمجرد وصوله إلى جهاز الكمبيوتر، أطلق حصان طروادة Smoke Loader نسخة جديدة من Explorer في Windows ووضعه في حالة تعليق. ثم اقتطع حصان طروادة جزءًا من التعليمات البرمجية التي استخدمها للتشغيل في ذاكرة النظام وملء تلك المساحة الفارغة بالبرامج الضارة. بعد ذلك، يمكن أن تعمل البرامج الضارة دون أن يتم اكتشافها وتحذف مكونات طروادة المخزنة على القرص الصلب لجهاز الكمبيوتر أو SSD.
الآن متخفيًا في صورة عملية Explorer النموذجية التي تعمل في الخلفية، أطلقت البرامج الضارة نسخة جديدة من خدمة Windows Update AutoUpdate Client. مرة أخرى، تم اقتطاع جزء من التعليمات البرمجية، ولكن البرامج الضارة لتعدين العملات المعدنية ملأت المساحة الفارغة بدلاً من ذلك. قام Windows Defender بالقبض على عامل المنجم متلبسًا لأن Windows Update-قائم على ركض التنكر من المكان الخطأ. تشكلت حركة مرور الشبكة الناشئة عن هذه الحالة نشاط مشبوه للغاية كذلك.
نظرًا لأن Smoke Loader يحتاج إلى اتصال بالإنترنت لتلقي الأوامر عن بعد، فإنه يعتمد على خادم الأوامر والتحكم الموجود داخل البرنامج التجريبي مفتوح المصدر. عملة الاسم البنية الأساسية للشبكة. وفقًا لمايكروسوفت، فإن هذا الخادم يخبر البرامج الضارة بالنوم لفترة من الوقت، أو الاتصال أو قطع الاتصال بعنوان IP محدد، وتنزيل ملف وتنفيذه من عنوان IP محدد، وما إلى ذلك.
"بالنسبة للبرامج الضارة التي تعمل بتعدين العملات، يعد المثابرة أمرًا أساسيًا. تقول Microsoft إن هذه الأنواع من البرامج الضارة تستخدم تقنيات مختلفة لتظل غير مكتشفة لفترات طويلة من الزمن من أجل استخراج العملات المعدنية باستخدام موارد الكمبيوتر المسروقة. يتضمن ذلك إنشاء نسخة من نفسه والاختباء في مجلد Roaming AppData وإنشاء نسخة أخرى من نفسه للوصول إلى عناوين IP من المجلد Temp.
وتقول مايكروسوفت إن الذكاء الاصطناعي والكشف القائم على السلوك ساعدا في إحباط عملية القرصنة محمل الدخان غزو لكن ولا تذكر الشركة كيفية تلقي الضحايا للبرامج الضارة. إحدى الطرق الممكنة هي البريد الإلكتروني النموذجي حملة كما رأينا مع الانهيار المزيف الأخير /شبح التصحيح، وخداع المستلمين لتنزيل المرفقات وتثبيتها/فتحها.
ترقية نمط حياتكتساعد الاتجاهات الرقمية القراء على متابعة عالم التكنولوجيا سريع الخطى من خلال أحدث الأخبار ومراجعات المنتجات الممتعة والمقالات الافتتاحية الثاقبة ونظرات خاطفة فريدة من نوعها.
