Na quinta-feira, 8 de março, a Microsoft disse que pouco antes do meio-dia de terça-feira, o Windows Defender bloqueou mais de 80.000 instâncias de um ataque massivo de malware que usou um trojan chamado Dofoil, também conhecido como Smoke Loader. Nas próximas 12 horas, O Windows Defender bloqueou outras 400.000 instâncias. A maior parte do surto de fumaça ocorreu na Rússia (73%) seguirEd pela Turquia (18 por cento) e pela Ucrânia (4 por cento).
Smoke Loader é um trojan que pode recuperar uma carga de um local remoto depois de infectar um PC. Era euvisto em um patch falso para o Colapso e Espectro pprocessador vuInerabilidades, que dpossuiu várias cargas úteis para fins maliciosos. Mas relativamente ao actual surto na Rússia e nos países vizinhos, A carga útil do Smoke Loader era um criptomoedarenda mineiro.
Vídeos recomendados
“Como o valor do Bitcoin e de outras criptomoedas continua a crescer, os operadores de malware veem a oportunidade de incluir componentes de mineração de moedas em seus ataques”, afirmou a Microsoft. “Por exemplo, os kits de exploração agora fornecem mineradores de moedas em vez de ransomware. Os golpistas estão adicionando scripts de mineração de moedas em sites fraudulentos de suporte técnico. E certas famílias de trojans bancários adicionaram comportamento de mineração de moedas.”
Uma vez no PC, o trojan Smoke Loader lançou uma nova instância do Explorer no Windows e a colocou em estado suspenso. O trojan então cortou uma parte do código, usou-o para ser executado na memória do sistema e preencheu esse espaço em branco com malware. Depois disso, o malware pode ser executado sem ser detectado e excluir os componentes do trojan armazenados no disco rígido ou SSD do PC.
Agora disfarçado como o processo típico do Explorer executado em segundo plano, o malware lançou uma nova instância do serviço Windows Update AutoUpdate Client. Novamente, uma seção do código foi cortada, mas o malware de mineração de moedas preencheu o espaço em branco. O Windows Defender pegou o mineiro em flagrante porque seu Windows Update-baseado o disfarce saiu do local errado. O tráfego de rede proveniente desta instância constituiu atividade altamente suspeita também.
Como o Smoke Loader precisa de uma conexão com a Internet para receber comandos remotos, ele depende de um servidor de comando e controle localizado no servidor experimental de código aberto. Nomecoin infraestrutura de rede. Segundo a Microsoft, esse servidor instrui o malware a hibernar por um período de tempo, conectar-se ou desconectar-se de um endereço IP específico, baixar e executar um arquivo de um endereço IP específico e assim por diante.
“Para malware de mineradores de moedas, a persistência é fundamental. Esses tipos de malware empregam várias técnicas para permanecerem indetectados por longos períodos de tempo, a fim de extrair moedas usando recursos de computador roubados”, afirma a Microsoft. Isso inclui fazer uma cópia de si mesmo e se esconder na pasta Roaming AppData e fazer outra cópia de si mesmo para acessar endereços IP da pasta Temp.
A Microsoft diz que a inteligência artificial e a detecção baseada em comportamento ajudaram a frustrar o Carregador de fumaça invasão mas a empresa não informa como as vítimas receberam o malware. Um método possível é o e-mail típico campanha como visto com o recente e falso Meltdown/Espectro patch, enganando os destinatários para que baixem e instalem/abram anexos.
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.
