V četrtek, 8. marca, je Microsoft dejal da je v torek malo pred poldnevom Windows Defender blokiral več kot 80.000 primerov množičnega napada zlonamerne programske opreme, ki je uporabil trojanca, imenovanega Dofoil, znanega tudi kot Smoke Loader. V naslednjih 12 urah, Windows Defender je blokiral še 400.000 primerkov. Večina dimnih izbruhov se je zgodila v Rusiji (73 odstotkov) sleditiizd Turčija (18 odstotkov) in Ukrajina (4 odstotke).
Smoke Loader je trojanec ki lahko pridobi koristni tovor z oddaljene lokacije, ko okuži osebni računalnik. Bilo je last viden v lažnem popravku za Meltdown in Spectre strprocesor vulnerabilnosti, ki dlastno naloženo različno koristno obremenitev za zlonamerne namene. Toda glede na trenutni izbruh v Rusiji in njenih sosednjih državah, Koristni tovor Smoke Loaderja je bil a kriptovalutarentnost rudar.
Priporočeni videoposnetki
»Ker vrednost Bitcoina in drugih kriptovalut še naprej raste, operaterji zlonamerne programske opreme vidijo priložnost, da v svoje napade vključijo komponente rudarjenja kovancev,« je izjavil Microsoft. »Na primer, kompleti izkoriščanja zdaj ponujajo rudarje kovancev namesto izsiljevalske programske opreme. Prevaranti dodajajo skripte za rudarjenje kovancev na spletna mesta za prevare s tehnično podporo. Nekatere družine bančnih trojanov so dodale vedenje rudarjenja kovancev.«
Ko je trojanec Smoke Loader na osebnem računalniku zagnal nov primerek Explorerja v sistemu Windows in ga postavil v začasno stanje. Trojanec je nato izrezal del kode, ki jo je uporabljal za izvajanje v sistemskem pomnilniku, in ta prazen prostor zapolnil z zlonamerno programsko opremo. Po tem bi lahko zlonamerna programska oprema delovala nezaznavno in izbrisala trojanske komponente, shranjene na trdem disku ali SSD-ju računalnika.
Zlonamerna programska oprema, ki je zdaj prikrita kot tipičen proces Explorerja, ki teče v ozadju, je zagnala nov primerek storitve Windows Update AutoUpdate Client. Spet je bil del kode izrezan, vendar je zlonamerna programska oprema za rudarjenje kovancev namesto tega zapolnila prazen prostor. Windows Defender je rudarja ujel pri delu, ker je njegova posodobitev Windows-temelji preobleka pobegnila z napačne lokacije. Omrežni promet, ki izhaja iz tega primera, je sestavljen zelo sumljiva dejavnost.
Ker Smoke Loader potrebuje internetno povezavo za sprejemanje ukazov na daljavo, se zanaša na strežnik za ukaze in nadzor, ki se nahaja znotraj poskusnega, odprtokodnega Namecoin omrežno infrastrukturo. Po mnenju Microsofta ta strežnik zlonamerni programski opremi sporoča, naj nekaj časa spi, se poveže ali prekine povezavo z določenim naslovom IP, prenese in izvede datoteko z določenega naslova IP itd.
»Za zlonamerno programsko opremo za rudarje kovancev je ključna vztrajnost. Te vrste zlonamerne programske opreme uporabljajo različne tehnike, da ostanejo dolgo časa neodkrite, da rudarijo kovance z uporabo ukradenih računalniških virov,« pravi Microsoft. To vključuje izdelavo kopije samega sebe in skrivanje v mapi Roaming AppData ter izdelavo druge kopije samega sebe za dostop do naslovov IP iz mape Temp.
Microsoft pravi, da sta umetna inteligenca in zaznavanje na podlagi vedenja pomagala preprečiti Nakladalnik dima invazija ampak podjetje ne navaja, kako so žrtve prejele zlonamerno programsko opremo. Ena od možnih metod je tipična e-pošta kampanja kot je razvidno iz nedavnega ponaredka Meltdown/Spekter popravek, ki prejemnike zavede v prenos in namestitev/odpiranje prilog.
Nadgradite svoj življenjski slogDigitalni trendi bralcem pomagajo slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.
