Ve čtvrtek 8. března řekl Microsoft že těsně před úterním polednem Windows Defender zablokoval více než 80 000 případů masivního malwarového útoku, který používal trojský kůň zvaný Dofoil, také známý jako Smoke Loader. Během následujících 12 hodin Windows Defender zablokoval dalších 400 000 instancí. Většina zakouřených ohnisek se odehrála v Rusku (73 procent) následovatvyd Turecko (18 procent) a Ukrajina (4 procenta).
Smoke Loader je trojský kůň který může načíst užitečné zatížení ze vzdáleného umístění, jakmile infikuje PC. to bylo ljak je vidět na falešném patchi pro Meltdown a Spectre pprocesor vulnerability, které dvlastnil různé užitečné zatížení pro škodlivé účely. Ale pro současnou epidemii v Rusku a jeho sousedních zemích, Užitečné zatížení Smoke Loader bylo a kryptokurrency horník.
Doporučená videa
„Vzhledem k tomu, že hodnota bitcoinu a dalších kryptoměn neustále roste, provozovatelé malwaru vidí příležitost zahrnout do svých útoků komponenty pro těžbu mincí,“ uvedl Microsoft. „Například exploit kity nyní namísto ransomwaru poskytují mincovníky. Podvodníci přidávají skripty pro těžbu mincí na podvodné weby technické podpory. A některé rodiny bankovních trojských koní přidaly chování při těžbě mincí.“
Jakmile byl trojan Smoke Loader na PC, spustil novou instanci Průzkumníka ve Windows a uvedl ji do pozastaveného stavu. Trojan pak vyřezal část kódu, který ji použil ke spuštění v systémové paměti, a zaplnil toto prázdné místo malwarem. Poté by se malware mohl spustit nedetekován a odstranit součásti trojského koně uložené na pevném disku počítače nebo SSD.
Malware nyní maskovaný jako typický proces Průzkumníka běžící na pozadí spustil novou instanci služby Windows Update AutoUpdate Client. Opět byla část kódu vyříznuta, ale místo toho vyplnil malware pro těžbu mincí. Windows Defender přistihl těžaře při činu, protože jeho Windows Update-na základě převlek běžel ze špatného místa. Síťový provoz pocházející z této instance tvoří také vysoce podezřelá činnost.
Protože Smoke Loader potřebuje k přijímání vzdálených příkazů připojení k internetu, spoléhá se na příkazový a řídicí server umístěný v experimentálním open-source systému. Namecoin síťové infrastruktury. Podle Microsoftu tento server říká malwaru, aby po určitou dobu usnul, připojil se nebo odpojil ke konkrétní IP adrese, stáhl a spustil soubor z konkrétní IP adresy a tak dále.
„Pro malware pro těžaře mincí je klíčová vytrvalost. Tyto typy malwaru využívají různé techniky, aby zůstaly nedetekovány po dlouhou dobu, aby bylo možné těžit mince pomocí ukradených počítačových zdrojů,“ říká Microsoft. To zahrnuje vytvoření vlastní kopie a skrytí ve složce Roaming AppData a vytvoření další vlastní kopie pro přístup k IP adresám ze složky Temp.
Microsoft říká, že umělá inteligence a detekce založená na chování pomohly překazit Zavaděč kouře invaze ale společnost neuvádí, jak oběti dostaly malware. Jednou z možných metod je typický e-mail kampaň jak je vidět u nedávného falešného Meltdown/Přízrak patch, přimět příjemce ke stažení a instalaci/otevření příloh.
Upgradujte svůj životní stylDigitální trendy pomáhají čtenářům mít přehled o rychle se měnícím světě technologií se všemi nejnovějšími zprávami, zábavnými recenzemi produktů, zasvěcenými úvodníky a jedinečnými náhledy.
