Vo štvrtok 8. marca Microsoft uviedol že v utorok tesne pred poludním program Windows Defender zablokoval viac ako 80 000 prípadov masívneho útoku škodlivého softvéru, ktorý používal trójsky kôň s názvom Dofoil, tiež známy ako Smoke Loader. Počas nasledujúcich 12 hodín Windows Defender zablokoval ďalších 400 000 inštancií. Väčšina zadymenej epidémie sa odohrala v Rusku (73 percent) sledovaťvyd Turecko (18 percent) a Ukrajina (4 percentá).
Smoke Loader je trójsky kôň ktorý môže načítať užitočné zaťaženie zo vzdialeného miesta, keď infikuje počítač. To bolo lako je vidieť na falošnej náplasti pre Meltdown a Spectre pprocessor vulnerability, ktoré dvlastnil rôzne užitočné zaťaženia na škodlivé účely. Ale pre súčasnú epidémiu v Rusku a jeho susedných krajinách, Užitočné zaťaženie Smoke Loader bolo a kryptokurrency baník.
Odporúčané videá
„Pretože hodnota bitcoinu a iných kryptomien neustále rastie, prevádzkovatelia malvéru vidia príležitosť zahrnúť do svojich útokov komponenty na ťažbu mincí,“ uviedol Microsoft. „Napríklad exploit kity teraz namiesto ransomvéru prinášajú mincovníkov. Podvodníci pridávajú skripty na ťažbu mincí na podvodné webové stránky technickej podpory. A niektoré rodiny bankových trójskych koní pridali správanie pri ťažbe mincí.“
Keď sa trójsky kôň Smoke Loader dostal na počítač, spustil novú inštanciu Prieskumníka v systéme Windows a umiestnil ho do pozastaveného stavu. Trójsky kôň potom vyrezal časť kódu, ktorý ho použil na spustenie v systémovej pamäti, a vyplnil toto prázdne miesto škodlivým softvérom. Potom by sa malvér mohol spustiť nezistený a odstrániť komponenty trójskych koní uložené na pevnom disku počítača alebo SSD.
Malvér, ktorý sa teraz maskuje ako typický proces Prieskumníka bežiaceho na pozadí, spustil novú inštanciu služby Windows Update AutoUpdate Client. Opäť bola časť kódu vyrezaná, ale prázdne miesto vyplnil malvér na ťažbu mincí. Windows Defender prichytil baníka pri čine, pretože jeho Windows Update-založené prestrojenie bežalo z nesprávneho miesta. Sieťová prevádzka pochádzajúca z tohto prípadu bola vytvorená tiež veľmi podozrivá činnosť.
Pretože Smoke Loader potrebuje na prijímanie vzdialených príkazov internetové pripojenie, spolieha sa na príkazový a riadiaci server umiestnený v experimentálnom, open-source serveri. Namecoin sieťovú infraštruktúru. Podľa Microsoftu tento server povie malvéru, aby na určitý čas uspával, pripojil sa alebo odpojil ku konkrétnej IP adrese, stiahol a spustil súbor z konkrétnej IP adresy atď.
„Pre malvér na ťažbu mincí je kľúčová vytrvalosť. Tieto typy malvéru využívajú rôzne techniky, aby zostali neodhalené po dlhú dobu s cieľom ťažiť mince pomocou ukradnutých počítačových zdrojov,“ hovorí Microsoft. To zahŕňa vytvorenie vlastnej kópie a skrytie v priečinku Roaming AppData a vytvorenie ďalšej vlastnej kópie na prístup k IP adresám z priečinka Temp.
Microsoft hovorí, že umelá inteligencia a detekcia založená na správaní pomohli prekaziť Nakladač dymu invázia ale spoločnosť neuvádza, ako obete dostali malvér. Jednou z možných metód je typický e-mail kampaň ako je vidieť pri nedávnom falošnom Meltdown/Spectre patch, oklamaním príjemcov, aby si stiahli a nainštalovali/otvorili prílohy.
Zlepšite svoj životný štýlDigitálne trendy pomáhajú čitateľom mať prehľad o rýchlo sa rozvíjajúcom svete technológií so všetkými najnovšími správami, zábavnými recenziami produktov, užitočnými úvodníkmi a jedinečnými ukážkami.
