3月8日木曜日、Microsoftは次のように述べた。 火曜日の正午前、Windows Defender は、Smoke Loader としても知られる Dofoil と呼ばれるトロイの木馬を使用した大規模なマルウェア攻撃の 80,000 件を超えるインスタンスをブロックしたと発表しました。 その後 12 時間以内に、 Windows Defender はさらに 400,000 個のインスタンスをブロックしました。 煙の発生の大部分はロシアで発生しました (73%) フォローする編 トルコ(18%)とウクライナ(4%)が多かった。
Smoke Loader はトロイの木馬です PC に感染すると、遠隔地からペイロードを取得できます。 そうだった 私偽のパッチに見られるような のために メルトダウンとスペクター pプロセッサ ヴ脆弱性、 d悪意のある目的でさまざまなペイロードを独自にロードしました。 しかし、ロシアとその近隣諸国での現在の感染拡大に関しては、 スモークローダーのペイロードは 暗号通貨レンシー 鉱夫。
おすすめ動画
「ビットコインやその他の暗号通貨の価値は上昇し続けているため、マルウェアオペレーターは攻撃にコインマイニングコンポーネントを組み込む機会があると考えています」とマイクロソフトは述べた。 「たとえば、エクスプロイト キットは現在、ランサムウェアの代わりにコイン マイナーを配布しています。 詐欺師は、テクニカル サポート詐欺 Web サイトにコイン マイニング スクリプトを追加しています。 そして、特定のバンキング型トロイの木馬ファミリーは、コインマイニング動作を追加しました。」
PC に侵入すると、Smoke Loader トロイの木馬は Windows でエクスプローラーの新しいインスタンスを起動し、一時停止状態にします。 その後、トロイの木馬はシステム メモリ内で実行するために使用されるコードの一部を切り出し、その空白スペースをマルウェアで埋めました。 その後、マルウェアは検出されずに実行され、PC のハード ドライブまたは SSD に保存されているトロイの木馬コンポーネントを削除する可能性があります。
このマルウェアは、バックグラウンドで実行されている典型的な Explorer プロセスを装って、Windows Update AutoUpdate Client サービスの新しいインスタンスを起動しました。 ここでもコードの一部が切り取られましたが、代わりにコイン マイニング マルウェアが空白スペースを埋めました。
Windows Defender は、Windows Update を理由にマイナーを現行犯で捕まえました。ベースの 変装は間違った場所から逃げました。 このインスタンスから発生するネットワーク トラフィックが構成されます 極めて不審な行為も.Smoke Loader はリモート コマンドを受信するためにインターネット接続を必要とするため、実験的なオープンソース内にあるコマンド アンド コントロール サーバーに依存します。 ネームコイン ネットワークインフラストラクチャ。 Microsoft によると、このサーバーはマルウェアに対し、一定期間スリープする、特定の IP アドレスに接続または切断する、特定の IP アドレスからファイルをダウンロードして実行するなどを指示します。
「コインマイナーマルウェアにとって、永続性が鍵となります。 この種のマルウェアは、盗まれたコンピュータ リソースを使用してコインをマイニングするために、長期間検出されないようにさまざまな技術を採用しています」と Microsoft は述べています。 これには、自分自身のコピーを作成して Roaming AppData フォルダーに隠したり、自分自身の別のコピーを作成して Temp フォルダーから IP アドレスにアクセスしたりすることが含まれます。
マイクロソフトは、人工知能と行動ベースの検出が攻撃の阻止に役立ったと述べています。 スモークローダー 侵入 しかし 同社は、被害者がどのようにしてマルウェアを受け取ったのかについては明らかにしていない。 考えられる方法の 1 つは、一般的な電子メールです。 運動 最近の偽メルトダウンで見られるように/スペクター パッチを適用し、受信者を騙して添付ファイルをダウンロードしてインストール/開くように仕向けます。
ライフスタイルをアップグレードするDigital Trends は、読者が最新ニュース、楽しい製品レビュー、洞察力に富んだ社説、ユニークなスニーク ピークをすべて提供して、ペースの速いテクノロジーの世界を監視するのに役立ちます。
