El jueves 8 de marzo, Microsoft dijo que justo antes del mediodía del martes, Windows Defender bloqueó más de 80.000 instancias de un ataque masivo de malware que utilizó un troyano llamado Dofoil, también conocido como Smoke Loader. Dentro de las siguientes 12 horas, Windows Defender bloqueó otras 400.000 instancias. La mayor parte del brote de humo tuvo lugar en Rusia (73 por ciento) seguired por Turquía (18 por ciento) y Ucrania (4 por ciento).
Smoke Loader es un troyano que puede recuperar una carga útil desde una ubicación remota una vez que infecta una PC. Fue yovisto en un parche falso Para el Derretimiento y espectro pagprocesador vuInerabilidades, que dOwnloaded varias cargas útiles con fines maliciosos. De no ser por el brote actual en Rusia y sus países vecinos, La carga útil del Smoke Loader era una criptomonedarenta minero.
Vídeos recomendados
"Debido a que el valor de Bitcoin y otras criptomonedas continúa creciendo, los operadores de malware ven la oportunidad de incluir componentes de minería de monedas en sus ataques", afirmó Microsoft. “Por ejemplo, los kits de exploits ahora entregan mineros de monedas en lugar de ransomware. Los estafadores están agregando scripts de minería de monedas en sitios web fraudulentos de soporte técnico. Y ciertas familias de troyanos bancarios agregaron un comportamiento de extracción de monedas”.
Una vez en la PC, el troyano Smoke Loader lanzó una nueva instancia del Explorador de Windows y la puso en estado suspendido. Luego, el troyano extrajo una parte del código que utilizó para ejecutarse en la memoria del sistema y llenó ese espacio en blanco con malware. Después de eso, el malware podría ejecutarse sin ser detectado y eliminar los componentes troyanos almacenados en el disco duro o SSD de la PC.
Ahora disfrazado del proceso típico de Explorer que se ejecuta en segundo plano, el malware lanzó una nueva instancia del servicio Windows Update AutoUpdate Client. Nuevamente, se eliminó una sección del código, pero el malware de minería de monedas llenó el espacio en blanco. Windows Defender atrapó al minero con las manos en la masa porque su Windows Update-basado El disfraz salió del lugar equivocado. El tráfico de red procedente de esta instancia constituyó actividad altamente sospechosa también.
Debido a que Smoke Loader necesita una conexión a Internet para recibir comandos remotos, depende de un servidor de comando y control ubicado dentro del software experimental de código abierto. Nombrecoin infraestructura de red. Según Microsoft, este servidor le dice al malware que duerma durante un período de tiempo, se conecte o desconecte de una dirección IP específica, descargue y ejecute un archivo desde una dirección IP específica, etc.
“Para el malware de minería de monedas, la persistencia es clave. Estos tipos de malware emplean varias técnicas para pasar desapercibidos durante largos períodos de tiempo con el fin de extraer monedas utilizando recursos informáticos robados”, afirma Microsoft. Eso incluye hacer una copia de sí mismo y esconderse en la carpeta Roaming AppData y hacer otra copia de sí mismo para acceder a las direcciones IP desde la carpeta Temp.
Microsoft dice que la inteligencia artificial y la detección basada en el comportamiento ayudaron a frustrar el Cargador de humo invasión pero la empresa no indica cómo las víctimas recibieron el malware. Un método posible es el típico correo electrónico. campaña como se ve con el reciente falso Meltdown/Espectro parche, engañando a los destinatarios para que descarguen e instalen/abran archivos adjuntos.
Mejora tu estilo de vidaDigital Trends ayuda a los lectores a mantenerse al tanto del vertiginoso mundo de la tecnología con las últimas noticias, reseñas divertidas de productos, editoriales interesantes y adelantos únicos.
