ხუთშაბათს, 8 მარტს, Microsoft-მა განაცხადა რომ სამშაბათს შუადღის წინ Windows Defender-მა დაბლოკა 80000-ზე მეტი მავნე პროგრამის შეტევა, რომელიც გამოიყენა ტროას სახელად Dofoil, ასევე ცნობილი როგორც Smoke Loader. მომდევნო 12 საათის განმავლობაში, Windows Defender-მა დაბლოკა კიდევ 400000 შემთხვევა. კვამლის გავრცელების უმეტესობა რუსეთში დაფიქსირდა (73 პროცენტი). გაყოლარედ თურქეთის (18 პროცენტი) და უკრაინის (4 პროცენტი).
Smoke Loader არის ტროას რომელსაც შეუძლია დისტანციური ადგილიდან დატვირთვის ამოღება კომპიუტერის დაინფიცირების შემდეგ. Ის იყო ლast ჩანს ყალბი პაჩი სთვის Meltdown და Spectre გვროცესორი vuსისუსტეები, რომლებიც დმავნე მიზნებისთვის იტვირთა სხვადასხვა დატვირთვა. მაგრამ რუსეთსა და მის მეზობელ ქვეყნებში ამჟამინდელი აფეთქებისთვის, Smoke Loader-ის დატვირთვა იყო ა კრიპტოკურირენცია მაღაროელი.
რეკომენდებული ვიდეოები
„იმის გამო, რომ ბიტკოინისა და სხვა კრიპტოვალუტების ღირებულება აგრძელებს ზრდას, მავნე პროგრამის ოპერატორები ხედავენ შესაძლებლობას, შეტევებში მონეტის მაინინგის კომპონენტების ჩართვა“, - განაცხადა Microsoft-მა. ”მაგალითად, ექსპლოიტის კომპლექტები ახლა აწვდიან მონეტების მაინერებს გამოსასყიდის პროგრამის ნაცვლად. თაღლითები ამატებენ მონეტების მოპოვების სკრიპტებს ტექნიკური მხარდაჭერის თაღლითობის ვებსაიტებში. და ზოგიერთმა საბანკო ტროას ოჯახმა დაამატა მონეტების მოპოვების ქცევა.
ერთხელ კომპიუტერზე, Smoke Loader ტროიანმა გამოუშვა Explorer-ის ახალი ინსტანცია Windows-ში და მოათავსა ის შეჩერებულ მდგომარეობაში. შემდეგ ტროიანმა ამოკვეთა კოდის ნაწილი, გამოიყენა იგი სისტემის მეხსიერებაში გასაშვებად და შეავსო ეს ცარიელი ადგილი მავნე პროგრამით. ამის შემდეგ, მავნე პროგრამამ შეიძლება შეუმჩნევლად იმუშაოს და წაშალოს კომპიუტერის მყარ დისკზე ან SSD-ზე შენახული ტროას კომპონენტები.
ახლა შენიღბული, როგორც ტიპიური Explorer პროცესი, რომელიც მუშაობს ფონზე, მავნე პროგრამამ გაუშვა Windows Update AutoUpdate Client სერვისის ახალი ინსტანცია. ისევ ამოკვეთეს კოდის მონაკვეთი, მაგრამ მონეტების მოპოვების მავნე პროგრამამ შეავსო ცარიელი ადგილი. Windows Defender-მა მაინერი ხელიდან დაიჭირა, რადგან მისი Windows Update-დაფუძნებული შენიღბვა არასწორი ადგილიდან გაიქცა. ამ ინსტანციიდან გამომდინარე ქსელის ტრაფიკი შეიქმნა ასევე ძალიან საეჭვო აქტივობა.
იმის გამო, რომ Smoke Loader-ს სჭირდება ინტერნეტ კავშირი დისტანციური ბრძანებების მისაღებად, ის ეყრდნობა ბრძანებისა და კონტროლის სერვერს, რომელიც მდებარეობს ექსპერიმენტულ, ღია წყაროში. Namecoin ქსელის ინფრასტრუქტურა. Microsoft-ის თქმით, ეს სერვერი ეუბნება მავნე პროგრამას გარკვეული პერიოდის განმავლობაში დაძინება, დაკავშირება ან გათიშვა კონკრეტულ IP მისამართთან, ჩამოტვირთოთ და შეასრულოს ფაილი კონკრეტული IP მისამართიდან და ა.შ.
„მონეტების მაინერის მავნე პროგრამისთვის, გამძლეობა არის მთავარი. ამ ტიპის მავნე პროგრამა იყენებს სხვადასხვა ტექნიკას, რათა დარჩეს შეუმჩნეველი დიდი ხნის განმავლობაში, რათა მოპარული კომპიუტერის რესურსების გამოყენებით მონეტები მოიპოვოს“, - ამბობს Microsoft. ეს მოიცავს საკუთარი ასლის შექმნას და Roaming AppData საქაღალდეში დამალვას და სხვა ასლის შექმნას Temp საქაღალდედან IP მისამართებზე წვდომისთვის.
მაიკროსოფტი ამბობს, რომ ხელოვნურმა ინტელექტმა და ქცევაზე დაფუძნებულმა გამოვლენამ ხელი შეუწყო ამის ჩაშლას კვამლის დამტვირთავი შეჭრა მაგრამ კომპანია არ აცხადებს, თუ როგორ მიიღეს მსხვერპლებმა მავნე პროგრამა. ერთი შესაძლო მეთოდი არის ტიპიური ელ.წერილი კამპანია როგორც ჩანს ბოლო ყალბი Meltdown-ით/სპექტრი პატჩი, რომელიც ატყუებს მიმღებებს დანართების ჩამოტვირთვისა და ინსტალაციის/გახსნის მიზნით.
განაახლეთ თქვენი ცხოვრების წესიDigital Trends ეხმარება მკითხველს თვალყური ადევნონ ტექნოლოგიების სწრაფ სამყაროს ყველა უახლესი სიახლეებით, სახალისო პროდუქტების მიმოხილვებით, გამჭრიახი რედაქციებითა და უნიკალური თვალით.
