Neljapäeval, 8. märtsil teatas Microsoft et teisipäeva enne keskpäeva blokeeris Windows Defender enam kui 80 000 massilise pahavara rünnaku juhtumit, mis kasutas troojat nimega Dofoil, tuntud ka kui Smoke Loader. Järgmise 12 tunni jooksul Windows Defender blokeeris veel 400 000 eksemplari. Suurem osa suitsupuhangust leidis aset Venemaal (73 protsenti) järgitoim Türgi (18 protsenti) ja Ukraina (4 protsenti).
Smoke Loader on troojalane mis saab pärast arvuti nakatamist kasuliku koorma kätte saada kaugkohast. See oli lnagu võltsplaastril nähtud Selle eest Meltdown ja Spectre lkroessor vulneeruvus, mis dlaadis pahatahtlikel eesmärkidel enda alla mitmesuguseid kasulikke koormusi. Kuid praeguse puhangu kohta Venemaal ja selle naaberriikides Suitsulaaduri kandevõime oli a krüptokurrent kaevandaja.
Soovitatavad videod
"Kuna Bitcoini ja teiste krüptovaluutade väärtus kasvab jätkuvalt, näevad pahavara operaatorid võimalust kaasata oma rünnakutesse mündikaevandamise komponente," teatas Microsoft. „Näiteks pakuvad ärakasutamiskomplektid nüüd lunavara asemel mündikaevureid. Petturid lisavad tehnilise toe kelmuse veebisaitidele müntide kaevandamise skripte. Ja teatud pangandustrooja perekonnad lisasid müntide kaevandamise käitumist.
Arvutisse jõudes käivitas Trooja Smoke Loader Windowsis uue Exploreri eksemplari ja asetas selle peatatud olekusse. Seejärel lõi trooja välja osa koodist, mida kasutas süsteemimälus jooksmiseks, ja täitis selle tühja ruumi pahavaraga. Pärast seda võib pahavara avastamatult käivitada ja kustutada arvuti kõvakettale või SSD-le salvestatud trooja komponendid.
Nüüd maskeerituna tavaliseks taustal töötava Exploreri protsessiks, käivitas pahavara uue teenuse Windows Update AutoUpdate Client eksemplari. Jällegi lõigati välja osa koodist, kuid selle asemel täitis tühja koha müntide kaevandamise pahavara. Windows Defender tabas kaevandaja kuritarvitamisest, kuna tema Windows Update-põhineb maskeering jooksis valest kohast. Sellest eksemplarist tulenev võrguliiklus moodustati samuti väga kahtlane tegevus.
Kuna Smoke Loader vajab kaugkäskude vastuvõtmiseks Interneti-ühendust, tugineb see käsu- ja juhtimisserverile, mis asub eksperimentaalses avatud lähtekoodiga serveris. Nimemünt võrgu infrastruktuur. Microsofti sõnul käsib see server pahavaral teatud aja jooksul magama jääda, ühenduda või katkestada kindla IP-aadressiga, laadida alla ja käivitada fail kindlalt IP-aadressilt jne.
„Mündikaevandaja pahavara puhul on püsivus võtmetähtsusega. Seda tüüpi pahavara kasutab erinevaid tehnikaid, et jääda pikaks ajaks märkamatuks, et varastatud arvutiressursse kasutades münte kaevandada,“ ütleb Microsoft. See hõlmab endast koopia tegemist ja kaustas Roaming AppData peitmist ja endast teise koopia tegemist, et pääseda juurde kausta Temp IP-aadressidele.
Microsoft ütleb, et tehisintellekt ja käitumispõhine tuvastamine aitasid seda takistada Suitsulaadur invasioon aga Ettevõte ei avalda, kuidas ohvrid pahavara said. Üks võimalik meetod on tüüpiline e-kiri kampaania nagu on näha hiljutisest võltsitud Meltdownist/Tont paiga, meelitades adressaate alla laadima ja installima/avama manuseid.
Uuenda oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.
