Joi, 8 martie, a spus Microsoft că chiar înainte de prânz, marți, Windows Defender a blocat peste 80.000 de cazuri de atac masiv de malware care a folosit un troian numit Dofoil, cunoscut și sub numele de Smoke Loader. În următoarele 12 ore, Windows Defender a blocat alte 400.000 de instanțe. Cea mai mare parte a focarului de fum a avut loc în Rusia (73 la sută) urmaed de Turcia (18 la sută) și Ucraina (4 la sută).
Smoke Loader este un troian care poate prelua o sarcină utilă dintr-o locație la distanță odată ce infectează un computer. Era lașa cum se vede într-un plasture fals pentru Meltdown și Spectre processor vulnerabilități, care da deținut diverse sarcini utile în scopuri rău intenționate. Dar pentru focarul actual din Rusia și țările învecinate, Sarcina utilă a Smoke Loader a fost a criptocurrency miner.
Videoclipuri recomandate
„Deoarece valoarea Bitcoin și a altor criptomonede continuă să crească, operatorii de programe malware văd oportunitatea de a include componente de extragere a monedelor în atacurile lor”, a declarat Microsoft. „De exemplu, kiturile de exploatare oferă acum mineri de monede în loc de ransomware. Escrocii adaugă scripturi de extragere a monedelor pe site-urile web de înșelătorie de asistență tehnică. Și anumite familii de troieni bancare au adăugat comportamentul de extragere a monedelor.”
Odată ajuns pe PC, troianul Smoke Loader a lansat o nouă instanță de Explorer în Windows și a pus-o într-o stare suspendată. Troianul a scos apoi o porțiune din cod, folosit-o pentru a rula în memoria sistemului și a umplut acel spațiu gol cu malware. După aceea, malware-ul ar putea rula nedetectat și șterge componentele troiene stocate pe hard disk-ul sau SSD-ul computerului.
Acum deghizat ca procesul tipic Explorer care rulează în fundal, malware-ul a lansat o nouă instanță a serviciului Windows Update AutoUpdate Client. Din nou, o secțiune a codului a fost cioplită, dar malware-ul pentru minerit de monede a umplut spațiul liber. Windows Defender l-a prins pe miner în flagrant, deoarece Windows Update-ul său -bazat deghizarea a fugit din locația greșită. Traficul de rețea care decurge din această instanță a constituit activitate extrem de suspectă, de asemenea.
Deoarece Smoke Loader are nevoie de o conexiune la internet pentru a primi comenzi de la distanță, se bazează pe un server de comandă și control situat în cadrul experimental, open-source Namecoin infrastructura retelei. Potrivit Microsoft, acest server îi spune malware-ului să dorm pentru o perioadă de timp, să se conecteze sau să se deconecteze la o anumită adresă IP, să descarce și să execute un fișier de la o anumită adresă IP și așa mai departe.
„Pentru programele malware pentru mineri de monede, persistența este cheia. Aceste tipuri de malware folosesc diverse tehnici pentru a rămâne nedetectate pentru perioade lungi de timp pentru a extrage monede folosind resurse computerizate furate”, spune Microsoft. Aceasta include realizarea unei copii și ascunderea în folderul Roaming AppData și realizarea unei alte copii pentru a accesa adresele IP din folderul Temp.
Microsoft spune că inteligența artificială și detectarea bazată pe comportament au contribuit la zădărnicirea Încărcător de fum invazie dar compania nu precizează cum au primit victimele malware-ul. O metodă posibilă este e-mailul tipic campanie așa cum sa văzut cu recentul fals Meltdown/Spectru patch, păcălind destinatarii să descarce și să instaleze/deschide atașamente.
Îmbunătățește-ți stilul de viațăDigital Trends îi ajută pe cititori să țină cont de lumea rapidă a tehnologiei cu toate cele mai recente știri, recenzii distractive despre produse, editoriale perspicace și anticipări unice.
