Le jeudi 8 mars, Microsoft a déclaré que mardi peu avant midi, Windows Defender a bloqué plus de 80 000 instances d'une attaque massive de logiciels malveillants utilisant un cheval de Troie appelé Dofoil, également connu sous le nom de Smoke Loader. Dans les 12 heures suivantes, Windows Defender a bloqué 400 000 autres instances. La majeure partie de l'épidémie de fumée a eu lieu en Russie (73 %). suivreéd par la Turquie (18 pour cent) et l’Ukraine (4 pour cent).
Smoke Loader est un cheval de Troie qui peut récupérer une charge utile à partir d’un emplacement distant une fois qu’il infecte un PC. C'était jevu dans un faux patch pour le Fusion et Spectre probot vules handicaps, qui dil a téléchargé diverses charges utiles à des fins malveillantes. Mais pour l'épidémie actuelle en Russie et dans les pays voisins, La charge utile du Smoke Loader était un cryptomonnaierence mineur.
Vidéos recommandées
« Étant donné que la valeur du Bitcoin et d’autres crypto-monnaies continue de croître, les opérateurs de logiciels malveillants voient l’opportunité d’inclure des composants de minage de pièces dans leurs attaques », a déclaré Microsoft. « Par exemple, les kits d’exploitation fournissent désormais des mineurs de pièces au lieu de ransomwares. Les fraudeurs ajoutent des scripts d’extraction de pièces de monnaie sur les sites Web frauduleux du support technique. Et certaines familles de chevaux de Troie bancaires ont ajouté un comportement de minage de pièces.
Une fois sur le PC, le cheval de Troie Smoke Loader a lancé une nouvelle instance de l'Explorateur sous Windows et l'a placée dans un état suspendu. Le cheval de Troie a ensuite découpé une partie du code, l'a utilisé pour s'exécuter dans la mémoire du système et a rempli cet espace vide avec des logiciels malveillants. Après cela, le malware pourrait s’exécuter sans être détecté et supprimer les composants du cheval de Troie stockés sur le disque dur ou le SSD du PC.
Désormais déguisé en processus Explorer typique exécuté en arrière-plan, le malware a lancé une nouvelle instance du service client Windows Update AutoUpdate. Encore une fois, une section du code a été supprimée, mais un logiciel malveillant de minage de pièces a rempli l'espace vide à la place. Windows Defender a pris le mineur en flagrant délit parce que son Windows Update-basé le déguisement provenait du mauvais endroit. Le trafic réseau issu de cette instance était constitué activité très suspecte également.
Étant donné que Smoke Loader a besoin d'une connexion Internet pour recevoir des commandes à distance, il s'appuie sur un serveur de commande et de contrôle situé dans le système expérimental open source. Nomcoin infrastructure de réseau. Selon Microsoft, ce serveur indique au malware de dormir pendant un certain temps, de se connecter ou de se déconnecter à une adresse IP spécifique, de télécharger et d'exécuter un fichier à partir d'une adresse IP spécifique, etc.
« Pour les logiciels malveillants de type mineur, la persistance est la clé. Ces types de logiciels malveillants utilisent diverses techniques pour rester indétectables pendant de longues périodes afin d'extraire des pièces en utilisant des ressources informatiques volées », explique Microsoft. Cela inclut de créer une copie de lui-même, de se cacher dans le dossier Roaming AppData et de créer une autre copie de lui-même pour accéder aux adresses IP à partir du dossier Temp.
Microsoft affirme que l'intelligence artificielle et la détection basée sur le comportement ont contribué à contrecarrer le Chargeur de fumée invasion mais la société n’indique pas comment les victimes ont reçu le logiciel malveillant. Une méthode possible est l'e-mail typique campagne comme on le voit avec le récent faux Meltdown/Spectre correctif, incitant les destinataires à télécharger et à installer/ouvrir des pièces jointes.
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
