ביום חמישי, 8 במרץ, אמרה מיקרוסופט שרגע לפני הצהריים ביום שלישי, Windows Defender חסמה יותר מ-80,000 מקרים של התקפת תוכנה זדונית מאסיבית שהשתמשה בטרויאני בשם Dofoil, הידוע גם בשם Smoke Loader. בתוך 12 השעות הבאות, Windows Defender חסם עוד 400,000 מקרים. רוב ההתפרצות המעושנת התרחשה ברוסיה (73 אחוזים) לעקוב אחרed על ידי טורקיה (18 אחוז) ואוקראינה (4 אחוז).
מעשן עשן הוא טרויאני שיכול לאחזר מטען ממקום מרוחק ברגע שהוא מדביק מחשב. זה היה לכפי שנראה בתיקון מזויף בשביל ה התמוטטות וספקטר עסרסור vuנקודות תורפה, אשר דהטעינה מטענים שונים למטרות זדוניות. אבל לגבי ההתפרצות הנוכחית ברוסיה ובמדינות השכנות לה, המטען של מעמיס עשן היה א קריפטו-קוררנסי כּוֹרֶה.
סרטונים מומלצים
"מכיוון שהערך של ביטקוין ומטבעות קריפטוגרפיים אחרים ממשיך לגדול, מפעילי תוכנות זדוניות רואים את ההזדמנות לכלול רכיבי כריית מטבעות בהתקפות שלהם", הצהירה מיקרוסופט. "לדוגמה, ערכות ניצול מספקות כעת כורי מטבעות במקום תוכנות כופר. רמאים מוסיפים סקריפטים לכריית מטבעות באתרי הונאה של תמיכה טכנית. ומשפחות טרויאניות בנקאיות מסוימות הוסיפו התנהגות כריית מטבעות".
פעם אחת על המחשב האישי, הטרויאני Smoke Loader השיק מופע חדש של Explorer ב-Windows והציב אותו במצב מושעה. לאחר מכן, הטרויאני חתך חלק מהקוד שהשתמש בו כדי לרוץ בזיכרון המערכת ומילא את החלל הריק הזה בתוכנה זדונית. לאחר מכן, התוכנה הזדונית עלולה לפעול ללא זיהוי ולמחוק את הרכיבים הטרויאניים המאוחסנים בכונן הקשיח או ב-SSD של המחשב האישי.
כעת, כשהם מחופשים לתהליך האקספלורר הטיפוסי שרץ ברקע, התוכנה הזדונית השיקה מופע חדש של שירות Windows Update AutoUpdate Client. שוב, חלק מהקוד נחצב, אך תוכנות זדוניות לכריית מטבעות מילאו את החלל הריק במקום זאת. Windows Defender תפס את הכורה על חם בגלל עדכון Windows שלו-מבוסס התחפושת רצה מהמיקום הלא נכון. תעבורת רשת הנובעת ממקרה זה נוצרה גם פעילות חשודה ביותר.
מכיוון ש-Smoke Loader צריך חיבור לאינטרנט כדי לקבל פקודות מרחוק, הוא מסתמך על שרת פקודות ובקרה הממוקם בתוך הקוד הפתוח הניסיוני Namecoin תשתית רשת. לפי מיקרוסופט, שרת זה אומר לתוכנה הזדונית לישון למשך תקופה מסוימת, להתחבר או להתנתק לכתובת IP ספציפית, להוריד ולהפעיל קובץ מכתובת IP ספציפית וכן הלאה.
"עבור תוכנות זדוניות של כורי מטבעות, התמדה היא המפתח. סוגים אלה של תוכנות זדוניות משתמשות בטכניקות שונות כדי להישאר ללא זיהוי במשך פרקי זמן ארוכים כדי לכרות מטבעות באמצעות משאבי מחשב גנובים", אומרת מיקרוסופט. זה כולל יצירת עותק של עצמה והסתתרות בתיקיית Roaming AppData ויצירת עותק נוסף של עצמה כדי לגשת לכתובות IP מתיקיית Temp.
מיקרוסופט טוענת כי בינה מלאכותית וזיהוי מבוסס התנהגות עזרו לסכל את זה מעמיס עשן פְּלִישָׁה אבל החברה לא מציינת כיצד הקורבנות קיבלו את התוכנה הזדונית. שיטה אפשרית אחת היא הדואר האלקטרוני הרגיל קמפיין כפי שניתן לראות ב-Meltdown המזויף האחרון/רוּחַ תיקון, להערים על נמענים להוריד ולהתקין/לפתוח קבצים מצורפים.
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.
