В четвъртък, 8 март, каза Microsoft че точно преди обяд във вторник Windows Defender блокира повече от 80 000 случая на масивна атака на зловреден софтуер, използваща троянски кон, наречен Dofoil, известен също като Smoke Loader. В рамките на следващите 12 часа, Windows Defender блокира още 400 000 копия. По-голямата част от димното огнище се случи в Русия (73 процента) последвамизд от Турция (18 процента) и Украйна (4 процента).
Smoke Loader е троянски кон който може да извлече полезен товар от отдалечено място, след като зарази компютър. Беше лast се вижда във фалшив пластир за Meltdown и Spectre стрпроцесор vulnerabilnostи, които дсобствено заредени различни полезни товари за злонамерени цели. Но за настоящата епидемия в Русия и съседните й страни, Полезният товар на Smoke Loader беше a криптовалутаренти миньор.
Препоръчани видеоклипове
„Тъй като стойността на биткойн и други криптовалути продължава да расте, операторите на зловреден софтуер виждат възможността да включат компоненти за копаене на монети в своите атаки“, заяви Microsoft. „Например, експлойт комплектите вече доставят копаещи монети вместо рансъмуер. Измамниците добавят скриптове за копаене на монети в уебсайтове за измама с техническа поддръжка. И някои банкови троянски семейства добавиха поведение за копаене на монети.
Веднъж на компютъра, троянът Smoke Loader стартира нов екземпляр на Explorer в Windows и го постави в спряно състояние. След това троянският кон изрязва част от кода, използван за изпълнение в системната памет, и запълва това празно пространство със зловреден софтуер. След това зловредният софтуер може да работи незабелязано и да изтрие троянските компоненти, съхранени на твърдия диск или SSD на компютъра.
Сега маскиран като типичния процес на Explorer, работещ във фонов режим, злонамереният софтуер стартира нов екземпляр на услугата Windows Update AutoUpdate Client. Отново част от кода беше издълбана, но злонамереният софтуер за копаене на монети вместо това запълни празното пространство. Windows Defender хвана копача в престъпление, защото неговата Windows Update-базиран дегизировка избяга от грешното място. Мрежовият трафик, произтичащ от този случай, е съставен също силно подозрителна дейност.
Тъй като Smoke Loader се нуждае от интернет връзка, за да получава отдалечени команди, той разчита на команден и контролен сървър, разположен в рамките на експерименталния, с отворен код Namecoin мрежова инфраструктура. Според Microsoft този сървър казва на злонамерения софтуер да заспи за определен период от време, да се свърже или прекъсне връзката с конкретен IP адрес, да изтегли и изпълни файл от конкретен IP адрес и т.н.
„За зловреден софтуер за копаене на монети постоянството е от ключово значение. Тези видове зловреден софтуер използват различни техники, за да останат незабелязани за дълги периоди от време, за да копаят монети, използвайки откраднати компютърни ресурси“, казва Microsoft. Това включва създаване на копие на себе си и скриване в папката Roaming AppData и създаване на друго копие на себе си за достъп до IP адреси от папката Temp.
Microsoft казва, че изкуственият интелект и базираното на поведение откриване са помогнали да осуетят Зареждащ дим инвазия но компанията не посочва как жертвите са получили зловреден софтуер. Един възможен метод е типичният имейл кампания както се вижда със скорошния фалшив Meltdown/Призракът корекция, подвеждаща получателите да изтеглят и инсталират/отварят прикачени файлове.
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.
