Ketvirtadienį, kovo 8 d., pranešė „Microsoft“. kad antradienį prieš pat vidurdienį „Windows Defender“ užblokavo daugiau nei 80 000 didžiulės kenkėjiškų programų atakos atvejų, kai buvo naudojamas Trojos arklys, vadinamas Dofoil, taip pat žinomas kaip „Smoke Loader“. Per kitas 12 valandų „Windows Defender“ užblokavo dar 400 000 atvejų. Daugiausia dūmų protrūkio įvyko Rusijoje (73 proc.) sektired Turkija (18 proc.) ir Ukraina (4 proc.).
Smoke Loader yra Trojos arklys kuris gali nuskaityti naudingą krovinį iš nutolusios vietos, kai tik užkrės kompiuterį. Tai buvo lkaip matyti netikrame pleistre už Meltdown ir Spectre procesorius vupažeidžiamumas, kuris dkenkėjiškais tikslais įkeliami įvairūs naudingi kroviniai. Tačiau dėl dabartinio protrūkio Rusijoje ir jos kaimyninėse šalyse Smoke Loader naudingoji apkrova buvo a kriptokursasnuomos mokestį kalnakasys.
Rekomenduojami vaizdo įrašai
„Kadangi Bitcoin ir kitų kriptovaliutų vertė toliau auga, kenkėjiškų programų operatoriai mato galimybę į savo atakas įtraukti monetų gavybos komponentus“, – teigė „Microsoft“. „Pavyzdžiui, išnaudojimo rinkiniai dabar pristato monetų kasyklas, o ne išpirkos programas. Sukčiai prideda monetų gavybos scenarijus į techninės pagalbos sukčiavimo svetaines. Ir tam tikros bankininkystės Trojos arklys pridėjo monetų kasimo elgseną.
Atsidūręs kompiuteryje, Trojos arklys „Smoke Loader“ paleido naują „Explorer“ egzempliorių sistemoje „Windows“ ir perkėlė jį į sustabdytą būseną. Tada Trojos arklys iškirpo dalį kodo, kurį naudojo sistemos atmintyje, ir užpildė tą tuščią vietą kenkėjiška programa. Po to kenkėjiška programa gali paleisti neaptikta ir ištrinti kompiuterio standžiajame diske arba SSD saugomus Trojos arklys.
Dabar užmaskuota kaip įprastas „Explorer“ procesas, veikiantis fone, kenkėjiška programa paleido naują „Windows Update“ automatinio atnaujinimo kliento paslaugos egzempliorių. Vėlgi, kodo dalis buvo iškirpta, tačiau monetų kasimo kenkėjiškos programos užpildė tuščią vietą. „Windows Defender“ sugavo kalnakasį, nes „Windows Update“pagrįstas persirengėlis pabėgo iš netinkamos vietos. Sukurtas tinklo srautas, kylantis iš šio atvejo taip pat labai įtartiną veiklą.
Kadangi „Smoke Loader“ reikalingas interneto ryšys, kad gautų nuotolines komandas, ji remiasi komandų ir valdymo serveriu, esančiu eksperimentiniame atvirojo kodo. Namecoin tinklo infrastruktūra. „Microsoft“ teigimu, šis serveris liepia kenkėjiškajai programai tam tikrą laiką užmigti, prisijungti arba atsijungti nuo konkretaus IP adreso, atsisiųsti ir vykdyti failą iš konkretaus IP adreso ir pan.
„Monetų kasyklos kenkėjiškų programų atveju svarbiausia yra patvarumas. Tokio tipo kenkėjiškos programos naudoja įvairius metodus, kad ilgą laiką liktų nepastebėti, kad būtų galima iškasti monetas naudojant pavogtus kompiuterio išteklius“, – teigia „Microsoft“. Tai apima savęs kopijos kūrimą ir pasislėpimą tarptinklinio ryšio AppData aplanke ir kitos kopijos kūrimą, kad pasiektumėte IP adresus iš aplanko Temp.
„Microsoft“ teigia, kad dirbtinis intelektas ir elgesiu pagrįstas aptikimas padėjo sutrukdyti Dūmų krautuvas invazija bet bendrovė nenurodo, kaip aukos gavo kenkėjišką programą. Vienas iš galimų būdų yra įprastas el kampanija kaip matyti neseniai suklastotame Meltdown/Šmėkla pataisa, apgaudinėja gavėjus atsisiųsti ir įdiegti/atidaryti priedus.
Atnaujinkite savo gyvenimo būdąSkaitmeninės tendencijos padeda skaitytojams stebėti sparčiai besivystantį technologijų pasaulį – pateikiamos visos naujausios naujienos, smagios produktų apžvalgos, įžvalgūs vedamieji leidiniai ir unikalūs žvilgsniai.
