Torsdag 8. mars sa Microsoft at like før middag på tirsdag blokkerte Windows Defender mer enn 80 000 tilfeller av et massivt malware-angrep som brukte en trojan kalt Dofoil, også kjent som Smoke Loader. Innen de følgende 12 timene, Windows Defender blokkerte ytterligere 400 000 forekomster. Det meste av det røykfylte utbruddet fant sted i Russland (73 prosent) Følgutg av Tyrkia (18 prosent) og Ukraina (4 prosent).
Smoke Loader er en trojaner som kan hente en nyttelast fra en ekstern plassering når den infiserer en PC. Det var lsom sett i en falsk lapp for Meltdown og Spectre srocessor vusvakheter, som degenlastet ulike nyttelaster for ondsinnede formål. Men for det nåværende utbruddet i Russland og dets naboland, Smoke Loaders nyttelast var en kryptokurrency gruvearbeider.
Anbefalte videoer
"Fordi verdien av Bitcoin og andre kryptovalutaer fortsetter å vokse, ser skadevareoperatører muligheten til å inkludere myntgruvekomponenter i sine angrep," sa Microsoft. "For eksempel leverer utnyttelsessett nå myntgruvearbeidere i stedet for løsepengeprogramvare. Svindlere legger til myntgruveskript på svindelnettsteder for teknisk støtte. Og enkelte trojanske bankfamilier la til myntgruveatferd.»
En gang på PC-en, lanserte Smoke Loader-trojaneren en ny forekomst av Explorer i Windows og plasserte den i suspendert tilstand. Trojaneren skåret ut en del av koden som ble brukt til å kjøre i systemminnet og fylte den tomme plassen med skadelig programvare. Etter det kan skadelig programvare kjøre uoppdaget og slette trojanske komponentene som er lagret på PC-ens harddisk eller SSD.
Nå forkledd som den typiske Explorer-prosessen som kjører i bakgrunnen, lanserte skadelig programvare en ny forekomst av Windows Update AutoUpdate Client-tjenesten. Igjen ble en del av koden skåret ut, men coin mining malware fylte den tomme plassen i stedet. Windows Defender tok gruvearbeideren på fersk gjerning fordi dens Windows Update-basert forkledning løp fra feil sted. Nettverkstrafikk som stammer fra denne forekomsten utgjorde svært mistenkelig aktivitet også.
Fordi Smoke Loader trenger en internettforbindelse for å motta eksterne kommandoer, er den avhengig av en kommando- og kontrollserver plassert i den eksperimentelle, åpen kildekode Navnemynt nettverksinfrastruktur. I følge Microsoft ber denne serveren skadelig programvare om å sove i en periode, koble til eller fra en bestemt IP-adresse, laste ned og kjøre en fil fra en bestemt IP-adresse, og så videre.
"For coin miner malware er utholdenhet nøkkelen. Denne typen skadelig programvare bruker ulike teknikker for å forbli uoppdaget i lange perioder for å utvinne mynter ved å bruke stjålne dataressurser, sier Microsoft. Det inkluderer å lage en kopi av seg selv og gjemme seg i Roaming AppData-mappen og lage en ny kopi av seg selv for å få tilgang til IP-adresser fra Temp-mappen.
Microsoft sier at kunstig intelligens og atferdsbasert deteksjon bidro til å hindre dette Røyklader invasjon men selskapet oppgir ikke hvordan ofrene mottok skadelig programvare. En mulig metode er vanlig e-post kampanje som sett med den nylige falske Meltdown/Spekter patch, som lurer mottakere til å laste ned og installere/åpne vedlegg.
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
