W czwartek, 8 marca, poinformował Microsoft że we wtorek tuż przed południem program Windows Defender zablokował ponad 80 000 przypadków masowego ataku złośliwego oprogramowania, w którym wykorzystano trojana o nazwie Dofoil, znanego również jako Smoke Loader. W ciągu następnych 12 godzin, Windows Defender zablokował kolejne 400 000 instancji. Większość dymiącej epidemii miała miejsce w Rosji (73 procent) podążaćwyd przez Turcję (18 proc.) i Ukrainę (4 proc.).
Smoke Loader jest trojanem który może pobrać ładunek ze zdalnej lokalizacji po zainfekowaniu komputera. To było ljak widać na fałszywej łatce dla Meltdown i Spectre Pprocesor wuskłonności, które Dposiadał różne ładunki do złośliwych celów. Jednak w związku z obecną epidemią w Rosji i krajach sąsiadujących Ładunek Smoke Loadera wynosił: kryptowalutarenta górnik.
Polecane filmy
„Ponieważ wartość Bitcoina i innych kryptowalut stale rośnie, operatorzy złośliwego oprogramowania dostrzegają możliwość wykorzystania w swoich atakach komponentów wydobywających monety” – stwierdził Microsoft. „Na przykład zestawy exploitów dostarczają teraz narzędzia do wydobywania monet zamiast oprogramowania ransomware. Oszuści dodają skrypty wydobywające monety na oszukańczych stronach pomocy technicznej. Niektóre rodziny trojanów bankowych dodały zachowanie polegające na wydobywaniu monet”.
Po dotarciu na komputer trojan Smoke Loader uruchomił nową instancję Eksploratora w systemie Windows i umieścił ją w stanie zawieszenia. Następnie trojan wyciął część kodu, który uruchomił się w pamięci systemowej, i wypełnił tę pustą przestrzeń złośliwym oprogramowaniem. Następnie złośliwe oprogramowanie może działać niewykryte i usuwać komponenty trojana przechowywane na dysku twardym lub dysku SSD komputera.
Szkodnik, ukryty teraz pod typowym procesem Eksploratora działającym w tle, uruchomił nową instancję usługi klienta Windows Update AutoUpdate. Ponownie wycięto część kodu, ale zamiast tego puste miejsce wypełniło szkodliwe oprogramowanie wydobywające monety. Windows Defender przyłapał górnika na gorącym uczynku, ponieważ jego Windows Update-na podstawie przebranie uciekło z niewłaściwego miejsca. Utworzono ruch sieciowy pochodzący z tej instancji również wysoce podejrzaną aktywność.
Ponieważ Smoke Loader potrzebuje połączenia internetowego, aby otrzymywać zdalne polecenia, opiera się na serwerze dowodzenia i kontroli zlokalizowanym w eksperymentalnym, otwartym kodzie źródłowym Namecoin infrastruktura sieci. Według Microsoftu serwer ten każe złośliwemu oprogramowaniu uśpić się na pewien czas, połączyć się lub rozłączyć z określonym adresem IP, pobrać i uruchomić plik z określonego adresu IP i tak dalej.
„W przypadku złośliwego oprogramowania wydobywającego monety kluczowa jest wytrwałość. Tego typu złośliwe oprogramowanie wykorzystuje różne techniki, aby pozostać niewykrytym przez długi czas w celu wydobywania monet przy użyciu skradzionych zasobów komputera” – twierdzi Microsoft. Obejmuje to utworzenie własnej kopii i ukrycie się w folderze Roaming AppData oraz utworzenie kolejnej kopii, aby uzyskać dostęp do adresów IP z folderu Temp.
Microsoft twierdzi, że sztuczna inteligencja i wykrywanie oparte na zachowaniu pomogły udaremnić tę sytuację Ładowarka dymu inwazja Ale firma nie podaje, w jaki sposób ofiary otrzymały szkodliwe oprogramowanie. Jedną z możliwych metod jest typowy e-mail kampania jak widać w przypadku niedawnego fałszywego Meltdown/Widmo łatka, nakłaniająca odbiorców do pobrania i zainstalowania/otwarcia załączników.
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.
