3월 8일 목요일, 마이크로소프트는 이렇게 말했습니다. 화요일 정오 직전에 Windows Defender는 Smoke Loader라고도 알려진 Dofoil이라는 트로이 목마를 사용한 대규모 맬웨어 공격 인스턴스 80,000개 이상을 차단했습니다. 다음 12시간 이내에, Windows Defender는 추가로 400,000개의 인스턴스를 차단했습니다. 연기 발생의 대부분은 러시아에서 발생했습니다(73%). 따르다에드 터키(18%)와 우크라이나(4%)가 차지했습니다.
Smoke Loader는 트로이 목마입니다. PC를 감염시키면 원격 위치에서 페이로드를 검색할 수 있습니다. 그것은 엘가짜 패치에서 본 것처럼 위해 멜트다운과 스펙터 피프로세서 부취약성, 이는 디악의적인 목적으로 다양한 페이로드를 소유했습니다. 그러나 현재 러시아와 그 주변 국가에서 발생한 발병에 대해서는 Smoke Loader의 페이로드는 암호화폐렌시 갱부.
추천 동영상
마이크로소프트는 “비트코인과 기타 암호화폐의 가치가 계속해서 증가하고 있기 때문에 악성 코드 운영자는 공격에 코인 채굴 구성요소를 포함시킬 수 있는 기회를 보고 있다”고 밝혔습니다. “예를 들어 익스플로잇 킷은 이제 랜섬웨어 대신 코인 채굴기를 제공하고 있습니다. 사기꾼들은 기술 지원 사기 웹사이트에 코인 채굴 스크립트를 추가하고 있습니다. 그리고 특정 뱅킹 트로이 목마 패밀리가 코인 채굴 행위를 추가했습니다.”
PC에서 Smoke Loader 트로이 목마는 Windows에서 새로운 Explorer 인스턴스를 시작하고 이를 일시 중지 상태로 전환했습니다. 그런 다음 트로이 목마는 시스템 메모리에서 실행하는 데 사용되는 코드의 일부를 조각내고 그 빈 공간을 악성 코드로 채웠습니다. 그 후 악성코드는 감지되지 않은 채 실행되어 PC의 하드 드라이브나 SSD에 저장된 트로이 목마 구성 요소를 삭제할 수 있습니다.
이제 이 악성코드는 백그라운드에서 실행되는 일반적인 Explorer 프로세스로 위장하여 Windows 업데이트 자동 업데이트 클라이언트 서비스의 새로운 인스턴스를 시작했습니다. 이번에도 코드의 일부가 잘려나갔지만, 코인 채굴 악성코드가 대신 빈 공간을 채웠습니다.
Windows Defender는 Windows 업데이트 때문에 광부를 적발했습니다.기반을 둔 변장이 잘못된 위치에서 실행되었습니다. 이 인스턴스에서 발생하는 네트워크 트래픽은 다음과 같습니다. 매우 의심스러운 활동도 마찬가지입니다..Smoke Loader는 원격 명령을 수신하려면 인터넷 연결이 필요하기 때문에 실험적인 오픈 소스 내에 있는 명령 및 제어 서버에 의존합니다. 네임코인 네트워크 인프라. 마이크로소프트에 따르면 이 서버는 악성코드에게 일정 시간 동안 잠자기 상태를 지시하고, 특정 IP 주소에 연결하거나 연결을 끊고, 특정 IP 주소에서 파일을 다운로드 및 실행하는 등의 작업을 수행합니다.
“코인 채굴 악성코드의 경우 지속성이 핵심입니다. 이러한 유형의 맬웨어는 훔친 컴퓨터 리소스를 사용하여 코인을 채굴하기 위해 장기간 탐지되지 않는 다양한 기술을 사용합니다.”라고 Microsoft는 말합니다. 여기에는 자신의 복사본을 만들고 Roaming AppData 폴더에 숨기고 Temp 폴더의 IP 주소에 액세스하기 위해 자신의 또 다른 복사본을 만드는 것이 포함됩니다.
마이크로소프트는 인공 지능과 행동 기반 탐지가 이러한 공격을 막는 데 도움이 되었다고 말합니다. 연기 로더 침입 하지만 회사는 피해자가 어떻게 악성코드를 받았는지 밝히지 않습니다. 가능한 방법 중 하나는 일반적인 이메일입니다. 운동 최근 가짜 Meltdown에서 볼 수 있듯이/스펙터 패치를 사용하여 수신자를 속여 첨부 파일을 다운로드하고 설치/열도록 합니다.
당신의 라이프스타일을 업그레이드하세요Digital Trends는 독자들이 모든 최신 뉴스, 재미있는 제품 리뷰, 통찰력 있는 사설 및 독특한 미리보기를 통해 빠르게 변화하는 기술 세계를 계속 확인할 수 있도록 도와줍니다.
