Microsoft sanoi torstaina 8. maaliskuuta että tiistaina juuri ennen puoltapäivää Windows Defender esti yli 80 000 massiivisen haittaohjelmahyökkäyksen tapausta, jossa käytettiin troijalaista nimeltä Dofoil, joka tunnetaan myös nimellä Smoke Loader. Seuraavien 12 tunnin aikana Windows Defender esti vielä 400 000 esiintymää. Suurin osa savuepidemiasta tapahtui Venäjällä (73 prosenttia) seuraatoim Turkki (18 prosenttia) ja Ukraina (4 prosenttia).
Smoke Loader on troijalainen joka voi noutaa hyötykuorman etäpaikasta, kun se saastuttaa tietokoneen. Se oli lkuten väärennetyssä laastarissa nähty varten Meltdown ja Spectre srossori vulnerabiliteetit, jotka domistama erilaisia hyötykuormia haitallisiin tarkoituksiin. Mutta nykyisen Venäjän ja sen naapurimaiden taudinpurkauksen vuoksi Smoke Loaderin hyötykuorma oli a kryptocurpalkkio kaivosmies.
Suositellut videot
"Koska Bitcoinin ja muiden kryptovaluuttojen arvo jatkaa kasvuaan, haittaohjelmaoperaattorit näkevät mahdollisuuden sisällyttää hyökkäyksiinsä kolikon louhintakomponentteja", Microsoft totesi. ”Esimerkiksi hyväksikäyttöpakkaukset toimittavat nyt kolikonkaivostyöntekijöitä kiristysohjelmien sijaan. Huijarit lisäävät kolikon louhintaskriptejä teknisen tuen huijaussivustoille. Ja tietyt pankkitroijalaiset lisäsivät kolikon louhintakäyttäytymistä."
Kun Smoke Loader -troijalainen oli tietokoneessa, se käynnisti uuden Explorerin Windowsissa ja asetti sen keskeytettyyn tilaan. Troijalainen loi sitten osan koodista, jota se käytti järjestelmän muistiin, ja täytti tämän tyhjän tilan haittaohjelmilla. Sen jälkeen haittaohjelmat voivat toimia havaitsematta ja poistaa tietokoneen kiintolevylle tai SSD-levylle tallennetut troijalaiset komponentit.
Nyt naamioitunut tyypilliseksi taustalla toimivaksi Explorer-prosessiksi, haittaohjelma käynnisti uuden Windows Update AutoUpdate Client -palvelun esiintymän. Jälleen osa koodista leikattiin pois, mutta sen sijaan kolikoiden louhintaohjelma täytti tyhjän tilan. Windows Defender sai kaivostyöntekijän kiinni, koska sen Windows Update-perustuu naamio juoksi väärästä paikasta. Tästä ilmentymästä peräisin oleva verkkoliikenne muodostettiin myös erittäin epäilyttävää toimintaa.
Koska Smoke Loader tarvitsee Internet-yhteyden vastaanottaakseen etäkäskyjä, se luottaa komento- ja ohjauspalvelimeen, joka sijaitsee kokeellisessa avoimessa lähdekoodissa. Namecoin verkkoinfrastruktuuria. Microsoftin mukaan tämä palvelin käskee haittaohjelman nukkumaan tietyn ajan, muodostamaan yhteyden tai katkaisemaan yhteyden tiettyyn IP-osoitteeseen, lataamaan ja suorittamaan tiedoston tietystä IP-osoitteesta ja niin edelleen.
"Kolikonkaivoshaittaohjelmille pysyvyys on avainasemassa. Tämäntyyppiset haittaohjelmat käyttävät erilaisia tekniikoita pysyäkseen havaitsemattomina pitkiä aikoja ja louhiakseen kolikoita varastettujen tietokoneresurssien avulla", Microsoft sanoo. Tämä sisältää kopion tekemisen itsestään ja piiloutumisesta Roaming AppData -kansioon ja toisen kopion tekemisen itsestään päästäkseen IP-osoitteisiin Temp-kansiosta.
Microsoft sanoo, että tekoäly ja käyttäytymiseen perustuva havaitseminen auttoivat estämään sen Savukuormaaja maahantunkeutuminen mutta yhtiö ei kerro, kuinka uhrit saivat haittaohjelman. Yksi mahdollinen tapa on tavallinen sähköposti kampanja kuten äskettäisessä väärennetyssä Meltdownissa/Peikko korjaus, huijaamalla vastaanottajia lataamaan ja asentamaan/avaamaan liitteitä.
Päivitä elämäntapasiDigital Trends auttaa lukijoita pysymään tekniikan nopeatempoisessa maailmassa uusimpien uutisten, hauskojen tuotearvostelujen, oivaltavien toimitusten ja ainutlaatuisten kurkistusten avulla.
