В четверг, 8 марта, Microsoft сообщила незадолго до полудня вторника Защитник Windows заблокировал более 80 000 случаев массовой атаки вредоносного ПО с использованием трояна Dofoil, также известного как Smoke Loader. В течение следующих 12 часов Защитник Windows заблокировал еще 400 000 экземпляров. Большая часть вспышек дыма произошла в России (73 процента). следоватьЭд Турцией (18 процентов) и Украиной (4 процента).
Smoke Loader — троян который может получить полезную нагрузку из удаленного места после заражения ПК. Это было лкак видно в фейковом патче для Крах и призрак ппроцессор вюуязвимости, которые дзагружал различные полезные данные для вредоносных целей. Но что касается нынешней вспышки в России и соседних странах, Полезная нагрузка Smoke Loader представляла собой криптовалютарента шахтер.
Рекомендуемые видео
«Поскольку ценность Биткойна и других криптовалют продолжает расти, операторы вредоносных программ видят возможность включать компоненты майнинга монет в свои атаки», — заявили в Microsoft. «Например, наборы эксплойтов теперь поставляют майнеры монет вместо программ-вымогателей. Мошенники добавляют скрипты для добычи монет на мошеннические сайты службы технической поддержки. А некоторые семейства банковских троянов добавили функцию майнинга монет».
Попав на ПК, троян Smoke Loader запускал новый экземпляр Проводника в Windows и переводил его в приостановленное состояние. Затем троян вырезал часть кода, использовал ее для запуска в системной памяти и заполнил это пустое пространство вредоносным ПО. После этого вредоносное ПО может работать незамеченным и удалять компоненты трояна, хранящиеся на жестком диске или SSD-накопителе ПК.
Теперь вредоносная программа, замаскированная под типичный процесс Explorer, работающий в фоновом режиме, запустила новый экземпляр службы клиента автоматического обновления Центра обновления Windows. Опять же, часть кода была вырезана, но вместо этого пустое место заполнилось вредоносным ПО для добычи монет. Защитник Windows поймал майнера с поличным, потому что у него есть Центр обновления Windows.основанный на маскировка побежала не из того места. Сетевой трафик, исходящий от этого экземпляра, составил очень подозрительная деятельность, а также.
Поскольку для получения удаленных команд Smoke Loader требуется подключение к Интернету, он использует сервер управления и контроля, расположенный в экспериментальной версии с открытым исходным кодом. неймкоин сетевая инфраструктура. По словам Microsoft, этот сервер приказывает вредоносному ПО перейти в режим ожидания на определенный период времени, подключиться или отключиться от определенного IP-адреса, загрузить и выполнить файл с определенного IP-адреса и так далее.
«Для вредоносных программ для майнинга монет постоянство является ключевым моментом. Эти типы вредоносных программ используют различные методы, чтобы оставаться незамеченными в течение длительного периода времени и добывать монеты с использованием украденных компьютерных ресурсов», — сообщает Microsoft. Это включает в себя создание своей копии и ее скрытие в папке Roaming AppData, а также создание еще одной копии себя для доступа к IP-адресам из папки Temp.
Microsoft утверждает, что искусственный интеллект и обнаружение на основе поведения помогли предотвратить Дымовой погрузчик вторжение но компания не уточняет, как жертвы получили вредоносное ПО. Одним из возможных методов является обычное электронное письмо. кампания как видно из недавнего фейкового Meltdown/Призрак патч, обманом заставляющий получателей загружать и устанавливать/открывать вложения.
Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, содержательным редакционным статьям и уникальным кратким обзорам.