Την Πέμπτη, 8 Μαρτίου, η Microsoft είπε ότι λίγο πριν το μεσημέρι της Τρίτης, το Windows Defender απέκλεισε περισσότερες από 80.000 περιπτώσεις μαζικής επίθεσης κακόβουλου λογισμικού που χρησιμοποιούσε έναν trojan που ονομάζεται Dofoil, επίσης γνωστός ως Smoke Loader. Μέσα στις επόμενες 12 ώρες, Το Windows Defender απέκλεισε άλλες 400.000 παρουσίες. Το μεγαλύτερο μέρος της επιδημίας καπνού σημειώθηκε στη Ρωσία (73 τοις εκατό) ακολουθηστεεκδ από την Τουρκία (18 τοις εκατό) και την Ουκρανία (4 τοις εκατό).
Το Smoke Loader είναι ένα trojan που μπορεί να ανακτήσει ένα ωφέλιμο φορτίο από μια απομακρυσμένη τοποθεσία μόλις μολύνει έναν υπολογιστή. Ήταν μεγάλοόπως φαίνεται σε ένα ψεύτικο έμπλαστρο για το Meltdown και Spectre Πrocessor vuαδυναμίες, οι οποίες ρεφόρτωσε διάφορα ωφέλιμα φορτία για κακόβουλους σκοπούς. Αλλά για το τρέχον ξέσπασμα στη Ρωσία και τις γειτονικές της χώρες, Το ωφέλιμο φορτίο του Smoke Loader ήταν α κρυπτοκουρrency μεταλλωρύχος.
Προτεινόμενα βίντεο
«Επειδή η αξία του Bitcoin και άλλων κρυπτονομισμάτων συνεχίζει να αυξάνεται, οι χειριστές κακόβουλου λογισμικού βλέπουν την ευκαιρία να συμπεριλάβουν στοιχεία εξόρυξης νομισμάτων στις επιθέσεις τους», δήλωσε η Microsoft. «Για παράδειγμα, τα κιτ εκμετάλλευσης παρέχουν πλέον εξορύκτες νομισμάτων αντί για ransomware. Οι απατεώνες προσθέτουν σενάρια εξόρυξης νομισμάτων σε ιστότοπους απάτης τεχνικής υποστήριξης. Και ορισμένες οικογένειες τραπεζικών trojan πρόσθεσαν τη συμπεριφορά εξόρυξης νομισμάτων».
Μόλις στον υπολογιστή, το Smoke Loader trojan ξεκίνησε μια νέα παρουσία του Explorer στα Windows και το τοποθέτησε σε κατάσταση αναστολής. Στη συνέχεια, ο trojan χάραξε ένα τμήμα του κώδικα που τον χρησιμοποίησε για να τρέξει στη μνήμη του συστήματος και γέμισε αυτόν τον κενό χώρο με κακόβουλο λογισμικό. Μετά από αυτό, το κακόβουλο λογισμικό θα μπορούσε να εκτελεστεί απαρατήρητο και να διαγράψει τα στοιχεία trojan που είναι αποθηκευμένα στον σκληρό δίσκο ή στο SSD του υπολογιστή.
Τώρα μεταμφιεσμένο ως η τυπική διαδικασία Explorer που εκτελείται στο παρασκήνιο, το κακόβουλο λογισμικό ξεκίνησε μια νέα παρουσία της υπηρεσίας πελάτη αυτόματης ενημέρωσης του Windows Update. Και πάλι, ένα τμήμα του κώδικα χαράχθηκε, αλλά το κακόβουλο λογισμικό εξόρυξης νομισμάτων γέμισε τον κενό χώρο. Το Windows Defender έπιασε τον ανθρακωρύχο στα πράσα επειδή το Windows Update-με βάση η μεταμφίεση έτρεξε από λάθος τοποθεσία. Η επισκεψιμότητα δικτύου που προέρχεται από αυτήν την περίπτωση συγκροτήθηκε άκρως ύποπτη δραστηριότητα επίσης.
Επειδή το Smoke Loader χρειάζεται σύνδεση στο διαδίκτυο για να λαμβάνει απομακρυσμένες εντολές, βασίζεται σε έναν διακομιστή εντολών και ελέγχου που βρίσκεται εντός του πειραματικού, ανοιχτού κώδικα Namecoin υποδομή δικτύου. Σύμφωνα με τη Microsoft, αυτός ο διακομιστής λέει στο κακόβουλο λογισμικό να αδράνει για ένα χρονικό διάστημα, να συνδεθεί ή να αποσυνδεθεί σε μια συγκεκριμένη διεύθυνση IP, να κατεβάσει και να εκτελέσει ένα αρχείο από μια συγκεκριμένη διεύθυνση IP και ούτω καθεξής.
«Για κακόβουλο λογισμικό εξόρυξης νομισμάτων, η επιμονή είναι το κλειδί. Αυτοί οι τύποι κακόβουλου λογισμικού χρησιμοποιούν διάφορες τεχνικές για να παραμείνουν απαρατήρητοι για μεγάλες χρονικές περιόδους, προκειμένου να εξορύξουν νομίσματα χρησιμοποιώντας κλεμμένους πόρους υπολογιστή», λέει η Microsoft. Αυτό περιλαμβάνει τη δημιουργία ενός αντιγράφου του εαυτού του και την απόκρυψη στον φάκελο Roaming AppData και τη δημιουργία ενός άλλου αντιγράφου του εαυτού του για πρόσβαση σε διευθύνσεις IP από το φάκελο Temp.
Η Microsoft λέει ότι η τεχνητή νοημοσύνη και η ανίχνευση που βασίζεται στη συμπεριφορά βοήθησαν να αποτραπεί Smoke Loader εισβολή αλλά η εταιρεία δεν δηλώνει πώς έλαβαν τα θύματα το κακόβουλο λογισμικό. Μια πιθανή μέθοδος είναι το τυπικό email καμπάνια όπως φαίνεται με το πρόσφατο ψεύτικο Meltdown/Φάντασμα patch, εξαπατώντας τους παραλήπτες για λήψη και εγκατάσταση/άνοιγμα συνημμένων.
Αναβαθμίστε τον τρόπο ζωής σαςΤο Digital Trends βοηθά τους αναγνώστες να παρακολουθούν τον γρήγορο κόσμο της τεχνολογίας με όλα τα τελευταία νέα, διασκεδαστικές κριτικές προϊόντων, διορατικά editorial και μοναδικές κρυφές ματιές.
