Giovedì 8 marzo, Microsoft ha detto che poco prima di mezzogiorno di martedì, Windows Defender ha bloccato più di 80.000 istanze di un massiccio attacco malware che utilizzava un trojan chiamato Dofoil, noto anche come Smoke Loader. Nelle 12 ore successive, Windows Defender ha bloccato altre 400.000 istanze. La maggior parte dell’epidemia di fumo ha avuto luogo in Russia (73%) seguireed da Turchia (18%) e Ucraina (4%).
Smoke Loader è un trojan che può recuperare un payload da una posizione remota una volta che ha infettato un PC. Era lmai visto in una patch falsa per il Fusione e Spettro Pprocessore vulnerabilità, che Dha caricato vari payload per scopi dannosi. Ma per l’attuale epidemia in Russia e nei paesi vicini, Il carico utile di Smoke Loader era un criptovalutarency minatore.
Video consigliati
"Poiché il valore di Bitcoin e di altre criptovalute continua a crescere, gli operatori di malware vedono l'opportunità di includere componenti di coin mining nei loro attacchi", ha affermato Microsoft. “Ad esempio, i kit di exploit ora forniscono minatori di monete invece di ransomware. I truffatori stanno aggiungendo script di coin mining nei siti Web di truffa del supporto tecnico. E alcune famiglie di trojan bancari hanno aggiunto il comportamento di mining di monete.
Una volta sul PC, il trojan Smoke Loader lanciava una nuova istanza di Explorer in Windows e la metteva in uno stato sospeso. Il trojan ha quindi ritagliato una parte del codice, lo ha utilizzato per essere eseguito nella memoria del sistema e ha riempito quello spazio vuoto con malware. Successivamente, il malware potrebbe funzionare senza essere rilevato ed eliminare i componenti del trojan memorizzati sul disco rigido o sull’SSD del PC.
Ora mascherato da tipico processo Explorer in esecuzione in background, il malware ha avviato una nuova istanza del servizio client di aggiornamento automatico di Windows Update. Anche in questo caso, una sezione del codice è stata ritagliata, ma il malware per il mining di monete ha invece riempito lo spazio vuoto. Windows Defender ha colto il minatore in flagrante perché è Windows Update-basato il travestimento è scappato dalla posizione sbagliata. Il traffico di rete derivante da questa istanza è stato costituito attività altamente sospetta.
Poiché Smoke Loader necessita di una connessione Internet per ricevere comandi remoti, si basa su un server di comando e controllo situato all'interno del sistema sperimentale open source Nomemoneta infrastruttura di rete. Secondo Microsoft, questo server dice al malware di restare inattivo per un periodo di tempo, connettersi o disconnettersi a un indirizzo IP specifico, scaricare ed eseguire un file da un indirizzo IP specifico e così via.
“Per il malware dei minatori di monete, la persistenza è fondamentale. Questi tipi di malware utilizzano varie tecniche per rimanere inosservati per lunghi periodi di tempo al fine di estrarre monete utilizzando risorse informatiche rubate", afferma Microsoft. Ciò include creare una copia di se stesso e nasconderlo nella cartella Roaming AppData e creare un'altra copia di se stesso per accedere agli indirizzi IP dalla cartella Temp.
Microsoft afferma che l’intelligenza artificiale e il rilevamento basato sul comportamento hanno contribuito a contrastare questo fenomeno Caricatore di fumo invasione Ma la società non dichiara in che modo le vittime hanno ricevuto il malware. Un metodo possibile è la tipica email campagna come visto con il recente falso Meltdown/Spettro patch, inducendo i destinatari a scaricare e installare/aprire allegati.
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.
