Am Donnerstag, 8. März, teilte Microsoft mit dass Windows Defender am Dienstag kurz vor Mittag mehr als 80.000 Instanzen eines massiven Malware-Angriffs blockierte, bei dem ein Trojaner namens Dofoil, auch bekannt als Smoke Loader, zum Einsatz kam. Innerhalb der folgenden 12 Stunden Windows Defender blockierte weitere 400.000 Instanzen. Der größte Teil des Rauchausbruchs ereignete sich in Russland (73 Prozent). folgenHrsg von der Türkei (18 Prozent) und der Ukraine (4 Prozent).
Smoke Loader ist ein Trojaner Das kann eine Nutzlast von einem entfernten Standort abrufen, sobald sie einen PC infiziert. Es war lAst in einem gefälschten Patch gesehen für die Meltdown und Spectre PProzessor vuLnerfähigkeiten, die Dverschiedene Payloads für böswillige Zwecke selbst geladen haben. Aber für den aktuellen Ausbruch in Russland und seinen Nachbarländern, Die Nutzlast des Smoke Loaders betrug a KryptowährungRency Bergmann.
Empfohlene Videos
„Da der Wert von Bitcoin und anderen Kryptowährungen weiter wächst, sehen Malware-Betreiber die Möglichkeit, Coin-Mining-Komponenten in ihre Angriffe einzubeziehen“, erklärte Microsoft. „Zum Beispiel liefern Exploit-Kits jetzt Coin-Miner statt Ransomware. Betrüger fügen Coin-Mining-Skripte in Betrugswebsites des technischen Supports ein. Und bestimmte Banking-Trojaner-Familien haben das Coin-Mining-Verhalten hinzugefügt.“
Sobald der Smoke Loader-Trojaner auf dem PC war, startete er eine neue Instanz des Explorers in Windows und versetzte ihn in einen angehaltenen Zustand. Der Trojaner hat dann einen Teil des Codes herausgeschnitten, ihn im Systemspeicher ausgeführt und diesen leeren Raum mit Malware gefüllt. Danach könnte die Schadsoftware unerkannt weiterlaufen und die auf der Festplatte oder SSD des PCs gespeicherten Trojaner-Komponenten löschen.
Jetzt getarnt als typischer Explorer-Prozess, der im Hintergrund läuft, startete die Malware eine neue Instanz des Windows Update AutoUpdate-Client-Dienstes. Auch hier wurde ein Abschnitt des Codes herausgeschnitten, aber stattdessen füllte Coin-Mining-Malware die Lücke. Windows Defender hat den Miner auf frischer Tat ertappt, weil sein Windows Update-basierend Die Verkleidung kam vom falschen Ort. Der von dieser Instanz ausgehende Netzwerkverkehr wurde gebildet auch höchst verdächtige Aktivität.
Da Smoke Loader eine Internetverbindung benötigt, um Fernbefehle zu empfangen, ist er auf einen Befehls- und Kontrollserver angewiesen, der sich innerhalb der experimentellen Open-Source-Umgebung befindet Namecoin Netzwerkinfrastruktur. Laut Microsoft weist dieser Server die Malware an, für einen bestimmten Zeitraum zu schlafen, eine Verbindung zu einer bestimmten IP-Adresse herzustellen oder zu trennen, eine Datei von einer bestimmten IP-Adresse herunterzuladen und auszuführen usw.
„Bei Coin-Miner-Malware ist Persistenz der Schlüssel. Diese Arten von Malware nutzen verschiedene Techniken, um über lange Zeiträume unentdeckt zu bleiben und mithilfe gestohlener Computerressourcen Münzen zu schürfen“, sagt Microsoft. Dazu gehört das Erstellen einer Kopie von sich selbst und das Verstecken im Roaming AppData-Ordner sowie das Erstellen einer weiteren Kopie von sich selbst, um auf IP-Adressen aus dem Temp-Ordner zuzugreifen.
Laut Microsoft haben künstliche Intelligenz und verhaltensbasierte Erkennung dazu beigetragen, das zu verhindern Rauchlader Invasion Aber Das Unternehmen gibt nicht an, wie die Opfer die Malware erhalten haben. Eine mögliche Methode ist die typische E-Mail Kampagne wie bei dem jüngsten gefälschten Meltdown zu sehen ist/Gespenst Patch, der Empfänger dazu verleitet, Anhänge herunterzuladen und zu installieren/öffnen.
Werten Sie Ihren Lebensstil aufDigital Trends hilft Lesern mit den neuesten Nachrichten, unterhaltsamen Produktrezensionen, aufschlussreichen Leitartikeln und einzigartigen Einblicken, den Überblick über die schnelllebige Welt der Technik zu behalten.
