Torsdag den 8. marts sagde Microsoft at lige før middag tirsdag blokerede Windows Defender mere end 80.000 tilfælde af et massivt malwareangreb, der brugte en trojan kaldet Dofoil, også kendt som Smoke Loader. Inden for de følgende 12 timer, Windows Defender blokerede yderligere 400.000 forekomster. Det meste af det røgfyldte udbrud fandt sted i Rusland (73 procent) følge efterudg af Tyrkiet (18 procent) og Ukraine (4 procent).
Smoke Loader er en trojaner der kan hente en nyttelast fra en fjernplacering, når den inficerer en pc. Det var lsom set i et falsk plaster for Nedsmeltning og Spectre srocessor vusvagheder, som degenladt forskellige nyttelaster til ondsindede formål. Men for det nuværende udbrud i Rusland og dets nabolande, Smoke Loaders nyttelast var en kryptokurrency minearbejder.
Anbefalede videoer
"Fordi værdien af Bitcoin og andre kryptovalutaer fortsætter med at vokse, ser malware-operatører muligheden for at inkludere møntminekomponenter i deres angreb," udtalte Microsoft. "For eksempel leverer udnyttelsessæt nu møntminearbejdere i stedet for ransomware. Svindlere tilføjer møntmine-scripts på scam-websteder med teknisk support. Og visse trojanske bankfamilier tilføjede møntminedrift."
En gang på pc'en lancerede Smoke Loader-trojaneren en ny forekomst af Explorer i Windows og placerede den i en suspenderet tilstand. Trojaneren udskårede derefter en del af koden, der brugte den til at køre i systemhukommelsen og fyldte det tomme rum med malware. Derefter kunne malwaren køre uopdaget og slette de trojanske komponenter, der er gemt på pc'ens harddisk eller SSD.
Nu forklædt som den typiske Explorer-proces, der kører i baggrunden, lancerede malwaren en ny forekomst af Windows Update AutoUpdate Client-tjenesten. Igen blev en del af koden skåret ud, men møntmine-malware udfyldte det tomme rum i stedet. Windows Defender tog minearbejderen på fersk gerning, fordi dens Windows Update-baseret forklædning løb fra det forkerte sted. Netværkstrafik, der stammer fra denne instans, udgøres også meget mistænkelig aktivitet.
Fordi Smoke Loader har brug for en internetforbindelse for at modtage fjernkommandoer, er den afhængig af en kommando- og kontrolserver placeret i den eksperimentelle, open source Navnemønt netværksinfrastruktur. Ifølge Microsoft fortæller denne server malwaren om at sove i en periode, oprette forbindelse til eller afbryde forbindelsen til en specifik IP-adresse, downloade og udføre en fil fra en specifik IP-adresse og så videre.
"For møntminer-malware er vedholdenhed nøglen. Disse typer malware anvender forskellige teknikker til at forblive uopdaget i lange perioder for at mine mønter ved hjælp af stjålne computerressourcer,” siger Microsoft. Det inkluderer at lave en kopi af sig selv og gemme sig i Roaming AppData-mappen og lave en anden kopi af sig selv for at få adgang til IP-adresser fra Temp-mappen.
Microsoft siger, at kunstig intelligens og adfærdsbaseret detektion var med til at forpurre Røglæser invasion men virksomheden oplyser ikke, hvordan ofrene modtog malwaren. En mulig metode er den typiske e-mail kampagne som set med den nylige falske Meltdown/Spectre patch, narre modtagere til at downloade og installere/åbne vedhæftede filer.
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
