Op donderdag 8 maart zei Microsoft dat Windows Defender dinsdag vlak voor de middag meer dan 80.000 exemplaren van een enorme malware-aanval blokkeerde waarbij gebruik werd gemaakt van een trojan genaamd Dofoil, ook wel bekend als Smoke Loader. Binnen de volgende 12 uur, Windows Defender blokkeerde nog eens 400.000 exemplaren. Het grootste deel van de rokerige uitbraak vond plaats in Rusland (73 procent) volgenred door Turkije (18 procent) en Oekraïne (4 procent).
Smoke Loader is een trojan die een lading van een externe locatie kan ophalen zodra deze een pc heeft geïnfecteerd. Het was lzoals te zien in een nep-patch voor de Meltdown en Spectre Pcessor Vulnerabiliteiten, die Downloadde verschillende payloads voor kwaadaardige doeleinden. Maar voor de huidige uitbraak in Rusland en zijn buurlanden geldt De lading van de Smoke Loader was a cryptomuntrentie mijnwerker.
Aanbevolen video's
“Omdat de waarde van Bitcoin en andere cryptocurrencies blijft groeien, zien malware-exploitanten de mogelijkheid om componenten voor het minen van munten in hun aanvallen op te nemen”, aldus Microsoft. “Exploitkits leveren nu bijvoorbeeld muntmijnwerkers in plaats van ransomware. Oplichters voegen scripts voor het minen van munten toe aan oplichtingswebsites voor technische ondersteuning. En bepaalde families van banktrojans voegden muntmijngedrag toe.”
Eenmaal op de pc lanceerde de Smoke Loader-trojan een nieuw exemplaar van Explorer in Windows en plaatste deze in een onderbroken status. De trojan heeft vervolgens een deel van de code uit het systeemgeheugen gehaald en die lege ruimte gevuld met malware. Daarna kan de malware onopgemerkt blijven en de trojan-componenten verwijderen die op de harde schijf of SSD van de pc zijn opgeslagen.
Nu vermomd als het typische Explorer-proces dat op de achtergrond draait, lanceerde de malware een nieuw exemplaar van de Windows Update AutoUpdate Client-service. Opnieuw werd een deel van de code uitgesneden, maar in plaats daarvan vulde malware voor het delven van munten de lege ruimte. Windows Defender betrapte de mijnwerker op heterdaad omdat zijn Windows Update-gebaseerd vermomming liep vanaf de verkeerde locatie. Het netwerkverkeer dat afkomstig is van dit exemplaar is samengesteld ook zeer verdachte activiteiten.
Omdat Smoke Loader een internetverbinding nodig heeft om opdrachten op afstand te ontvangen, vertrouwt het op een opdracht- en controleserver die zich in de experimentele, open source-omgeving bevindt. Naammunt netwerk infrastructuur. Volgens Microsoft vertelt deze server de malware dat hij een bepaalde tijd moet slapen, verbinding moet maken of verbreken met een specifiek IP-adres, een bestand moet downloaden en uitvoeren vanaf een specifiek IP-adres, enzovoort.
“Voor malware voor het minen van munten is doorzettingsvermogen van cruciaal belang. Dit soort malware maakt gebruik van verschillende technieken om lange tijd onopgemerkt te blijven en zo munten te minen met behulp van gestolen computerbronnen”, zegt Microsoft. Dat omvat het maken van een kopie van zichzelf en het verbergen in de map Roaming AppData en het maken van nog een kopie van zichzelf om toegang te krijgen tot IP-adressen uit de map Temp.
Microsoft zegt dat kunstmatige intelligentie en op gedrag gebaseerde detectie hebben geholpen dit te dwarsbomen Rooklader invasie Maar het bedrijf vermeldt niet hoe de slachtoffers de malware hebben ontvangen. Een mogelijke methode is de typische e-mail campagne zoals te zien is bij de recente nep-Meltdown/Spook patch, waardoor ontvangers worden misleid om bijlagen te downloaden en te installeren/openen.
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
