U četvrtak, 8. ožujka, Microsoft je rekao da je u utorak nešto prije podneva Windows Defender blokirao više od 80.000 instanci masovnog napada zlonamjernim softverom koji je koristio trojanca pod nazivom Dofoil, također poznatog kao Smoke Loader. U sljedećih 12 sati, Windows Defender blokirao je još 400.000 instanci. Većina dimnih epidemija dogodila se u Rusiji (73 posto) slijeditiizd Turskom (18 posto) i Ukrajinom (4 posto).
Smoke Loader je trojanac koji može dohvatiti korisni teret s udaljene lokacije nakon što zarazi računalo. Bilo je last viđen u lažnoj zakrpi za Meltdown i Spectre strprocesor vulnerabilnosti, koje dvlastitim učitavanjem različitih nosivosti u zlonamjerne svrhe. Ali za trenutnu epidemiju u Rusiji i susjednim zemljama, Korisni teret Smoke Loadera bio je a kriptovalutarentnost rudar.
Preporučeni videozapisi
"Budući da vrijednost Bitcoina i drugih kriptovaluta nastavlja rasti, operateri zlonamjernog softvera vide priliku uključiti komponente rudarenja novčića u svoje napade", izjavio je Microsoft. “Na primjer, exploit setovi sada isporučuju rudare novčića umjesto ransomwarea. Prevaranti dodaju skripte za rudarenje novčića na web-mjesta za tehničku podršku. A određene obitelji bankarskih trojana dodale su ponašanje rudarenja novčića.”
Jednom na PC-u, trojanac Smoke Loader pokrenuo je novu instancu Explorera u sustavu Windows i stavio je u suspendirano stanje. Trojanac je zatim izrezao dio koda koji je koristio za pokretanje u memoriji sustava i ispunio taj prazan prostor zlonamjernim softverom. Nakon toga bi se zlonamjerni softver mogao pokrenuti neotkriven i izbrisati trojanske komponente pohranjene na tvrdom disku ili SSD-u osobnog računala.
Sada prerušen u tipični proces Explorera koji radi u pozadini, zlonamjerni softver pokrenuo je novu instancu usluge Windows Update AutoUpdate Client. Ponovno je izrezan dio koda, ali zlonamjerni softver za rudarenje novčića umjesto toga ispunio je prazan prostor. Windows Defender uhvatio je rudara na djelu jer je njegova Windows Update-temeljen prerušen je pobjegao s krivog mjesta. Mrežni promet koji proizlazi iz ove instance je uspostavljen također vrlo sumnjiva aktivnost.
Budući da Smoke Loader treba internetsku vezu za primanje daljinskih naredbi, oslanja se na poslužitelj za naredbe i kontrolu koji se nalazi unutar eksperimentalnog, otvorenog koda Namecoin mrežna infrastruktura. Prema Microsoftu, ovaj poslužitelj govori zlonamjernom softveru da spava neko vrijeme, spoji se ili prekine vezu s određenom IP adresom, preuzme i izvrši datoteku s određene IP adrese i tako dalje.
“Za zlonamjerni softver za rudarenje novčića postojanost je ključna. Ove vrste zlonamjernog softvera koriste različite tehnike kako bi ostali neotkriveni dulje vrijeme kako bi rudarili novčiće koristeći ukradene računalne resurse”, kaže Microsoft. To uključuje izradu svoje kopije i skrivanje u mapi Roaming AppData te izradu druge kopije sebe za pristup IP adresama iz mape Temp.
Microsoft kaže da su umjetna inteligencija i detekcija temeljena na ponašanju pomogli spriječiti Punjač dima invazija ali tvrtka ne navodi kako su žrtve primile zlonamjerni softver. Jedna od mogućih metoda je tipična e-pošta kampanja kao što se vidi s nedavnim lažnim Meltdownom/Spektar zakrpa, navodeći primatelje da preuzmu i instaliraju/otvore privitke.
Nadogradite svoj životni stilDigitalni trendovi pomažu čitateljima da prate brzi svijet tehnologije sa svim najnovijim vijestima, zabavnim recenzijama proizvoda, pronicljivim uvodnicima i jedinstvenim brzim pregledima.
