A Microsoft közölte március 8-án, csütörtökön hogy kedden dél előtt a Windows Defender több mint 80 000 példányt blokkolt egy hatalmas kártevő támadásnak, amely a Dofoil nevű trójai programot, más néven Smoke Loadert használta. A következő 12 órán belül A Windows Defender további 400 000 példányt blokkolt. A legtöbb füstjárvány Oroszországban történt (73 százalék) kövesseszerk Törökország (18 százalék) és Ukrajna (4 százalék).
A Smoke Loader egy trójai amely egy távoli helyről tud letölteni egy hasznos terhet, miután megfertőzte a számítógépet. Ez volt lahogy egy hamis foltban látható a Meltdown és Spectre processor vulnerabilitások, amelyek drosszindulatú célokra különféle rakományokat töltött be. De a jelenlegi oroszországi és szomszédos országokban kitört járvány miatt A Smoke Loader rakománya a cryptocurbérleti díj bányász.
Ajánlott videók
„Mivel a Bitcoin és más kriptovaluták értéke folyamatosan növekszik, a rosszindulatú programok üzemeltetői lehetőséget látnak arra, hogy érmebányászati összetevőket is bevonjanak támadásaikba” – szögezte le a Microsoft. „Például a kizsákmányoló készletek most érmebányászokat szállítanak ransomware helyett. A csalók érmebányászati szkripteket adnak hozzá a technikai támogatás átveréseivel foglalkozó webhelyekhez. És bizonyos banki trójai családok hozzáadták az érmebányászati viselkedést.”
A számítógépre kerülve a Smoke Loader trójai elindította az Explorer új példányát a Windows rendszerben, és felfüggesztett állapotba helyezte. A trójai ezután kivágta a kód egy részét, amelyet a rendszermemóriában való futtatáshoz használt, és ezt az üres helyet rosszindulatú programokkal töltötte ki. Ezt követően a rosszindulatú program észrevétlenül futhat, és törölheti a számítógép merevlemezén vagy SSD-jén tárolt trójai összetevőket.
A rosszindulatú program a háttérben futó tipikus Explorer-folyamatnak álcázva elindította a Windows Update AutoUpdate Client szolgáltatás új példányát. Ismét kivágták a kód egy részét, de helyette az érmebányász kártevők töltötték be az üres helyet. A Windows Defender tetten érte a bányászt, mert a Windows Update-alapján álcázás rossz helyről futott. Az ebből a példányból származó hálózati forgalom létrejött erősen gyanús tevékenység is.
Mivel a Smoke Loadernek internetkapcsolatra van szüksége a távoli parancsok fogadásához, a kísérleti, nyílt forráskódú parancs- és vezérlőkiszolgálóra támaszkodik. Namecoin hálózati infrastruktúra. A Microsoft szerint ez a szerver utasítja a kártevőt, hogy aludjon egy ideig, csatlakozzon egy adott IP-címhez vagy bontsa le a kapcsolatot, töltsön le és futtasson egy fájlt egy adott IP-címről stb.
„Az érmebányász kártevők esetében a kitartás kulcsfontosságú. Az ilyen típusú rosszindulatú programok különféle technikákat alkalmaznak, hogy hosszú ideig észrevétlenül maradjanak, és érméket bányászhassanak ki lopott számítógépes erőforrások segítségével” – mondja a Microsoft. Ebbe beletartozik, hogy másolatot készítsen magáról, elrejtse magát a Roaming AppData mappában, és készítsen egy másik másolatot önmagáról, hogy elérje az IP-címeket a Temp mappából.
A Microsoft szerint a mesterséges intelligencia és a viselkedésalapú észlelés segített meghiúsítani a Füstrakodó invázió de a cég nem közli, hogy az áldozatok hogyan kapták meg a kártevőt. Az egyik lehetséges módszer a tipikus e-mail kampány ahogy az a közelmúltbeli hamis Meltdown-nál látható/Kísértet patch, csalva a címzetteket a mellékletek letöltésére és telepítésére/megnyitására.
Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.
