Ceturtdien, 8. martā, Microsoft paziņoja ka otrdien tieši pirms pusdienlaika programma Windows Defender bloķēja vairāk nekā 80 000 masveida ļaunprātīgas programmatūras uzbrukuma gadījumu, kas izmantoja Trojas zirgu Dofoil, kas pazīstams arī kā Smoke Loader. Nākamo 12 stundu laikā Windows Defender bloķēja vēl 400 000 gadījumu. Lielākā daļa dūmu uzliesmojuma notika Krievijā (73 procenti) sekoted Turcija (18 procenti) un Ukraina (4 procenti).
Smoke Loader ir Trojas zirgs kas var izgūt lietderīgo kravu no attālas vietas, kad tā inficē datoru. Tas bija lkā redzams viltotā ielāpā priekš Meltdown un Spectre lpprocesors vulnerabilitātes, kas dļaunprātīgos nolūkos ielādēja dažādas lietderīgās slodzes. Taču attiecībā uz pašreizējo uzliesmojumu Krievijā un tās kaimiņvalstīs Smoke Loader kravnesība bija a kriptokursnoma kalnracis.
Ieteiktie videoklipi
"Tā kā Bitcoin un citu kriptovalūtu vērtība turpina augt, ļaunprātīgas programmatūras operatori redz iespēju savos uzbrukumos iekļaut monētu ieguves komponentus," norādīja Microsoft. “Piemēram, izmantošanas komplekti tagad nodrošina monētu kalnračus, nevis izspiedējvīrusu programmatūru. Krāpnieki tehnoloģiju atbalsta krāpniecības vietnēs pievieno monētu ieguves skriptus. Un dažas banku Trojas zirgu ģimenes pievienoja monētu ieguves paradumus.
Atrodoties datorā, Trojas zirgs Smoke Loader palaida jaunu pārlūkprogrammas Explorer gadījumu operētājsistēmā Windows un novietoja to apturētā stāvoklī. Pēc tam Trojas zirgs izgrieza daļu koda, ko izmantoja, lai tas darbotos sistēmas atmiņā, un aizpildīja šo tukšo vietu ar ļaunprātīgu programmatūru. Pēc tam ļaunprātīgā programmatūra var darboties neatklāti un izdzēst datora cietajā diskā vai SSD saglabātos Trojas komponentus.
Tagad, maskējoties kā tipisks Explorer process, kas darbojas fonā, ļaunprogrammatūra palaida jaunu pakalpojuma Windows Update AutoUpdate Client instanci. Atkal tika izgriezta koda sadaļa, taču tā vietā tukšo vietu aizpildīja monētu ieguves ļaunprātīga programmatūra. Windows Defender pieķēra kalnraču ļaunprātīgu, jo tā Windows atjaunināšanapamatā maskēšanās skrēja no nepareizās vietas. Izveidota tīkla trafika, kas izriet no šīs instances arī ļoti aizdomīga darbība.
Tā kā Smoke Loader ir nepieciešams interneta savienojums, lai saņemtu attālās komandas, tas paļaujas uz komandu un vadības serveri, kas atrodas eksperimentālā, atvērtā koda. Namecoin tīkla infrastruktūra. Pēc Microsoft domām, šis serveris liek ļaunprogrammatūrai kādu laiku gulēt, izveidot savienojumu vai atvienoties ar noteiktu IP adresi, lejupielādēt un izpildīt failu no noteiktas IP adreses utt.
“Monētu kalnraču ļaunprātīgai programmatūrai noturība ir svarīga. Šāda veida ļaunprātīga programmatūra izmanto dažādas metodes, lai ilgstoši paliktu neatklātas, lai iegūtu monētas, izmantojot zagtus datora resursus,” norāda Microsoft. Tas ietver sevis kopijas izveidi un slēpšanos mapē Roaming AppData un citas kopijas izveidošanu, lai piekļūtu IP adresēm no mapes Temp.
Microsoft saka, ka mākslīgais intelekts un uz uzvedību balstīta noteikšana palīdzēja izjaukt Dūmu iekrāvējs iebrukums bet uzņēmums nenorāda, kā upuri saņēma ļaunprātīgu programmatūru. Viena no iespējamām metodēm ir parastais e-pasts kampaņa kā redzams nesenajā viltotajā sabrukumā/Spoks ielāps, maldinot adresātus lejupielādēt un instalēt/atvērt pielikumus.
Uzlabojiet savu dzīvesveiduDigitālās tendences palīdz lasītājiem sekot līdzi steidzīgajai tehnoloģiju pasaulei, izmantojot visas jaunākās ziņas, jautrus produktu apskatus, ieskatu saturošus rakstus un unikālus ieskatus.
