У четвртак, 8. марта, рекао је Мицрософт да је у уторак нешто пре поднева, Виндовс Дефендер блокирао више од 80.000 инстанци масовног напада малвера који је користио тројанац под називом Дофоил, такође познат као Смоке Лоадер. У наредних 12 сати, Виндовс Дефендер је блокирао још 400.000 инстанци. Највећи део задимљености догодио се у Русији (73 одсто) пратитиед Турске (18 одсто) и Украјине (4 одсто).
Смоке Лоадер је тројанац који може да преузме корисни терет са удаљене локације када зарази рачунар. Било је лкао што се види у лажном закрпу за Мелтдовн и Спецтре стрроцессор вулнерабилитиес, који дпоседовао разне корисне терете у злонамерне сврхе. Али за тренутну епидемију у Русији и њеним суседним земљама, Носивост Смоке Лоадер-а била је а цриптоцурренци рудар.
Препоручени видео снимци
„Пошто вредност биткоина и других криптовалута наставља да расте, оператери злонамерног софтвера виде прилику да укључе компоненте за рударење новчића у своје нападе“, наводи Мицрософт. „На пример, комплети за експлоатацију сада испоручују рударе новчића уместо рансомваре-а. Преваранти додају скрипте за рударење новчића на веб-сајтовима за преваре техничке подршке. И одређене породице банкарских тројана су додале понашање у рударењу новчића."
Једном на рачунару, тројанац Смоке Лоадер покренуо је нову инстанцу Екплорер-а у Виндовс-у и ставио је у суспендовано стање. Тројанац је затим изрезао део кода који је користио за покретање у системској меморији и попунио тај празан простор малвером. Након тога, малвер би могао да ради неоткривен и да избрише тројанске компоненте ускладиштене на чврстом диску или ССД рачунару.
Сада прерушен у типичан процес Екплорер-а који ради у позадини, малвер је покренуо нову инстанцу услуге Виндовс Упдате АутоУпдате Цлиент. Опет, део кода је изрезан, али злонамерни софтвер за рударење новчића је уместо тога попунио празан простор. Виндовс Дефендер је ухватио рудара на лицу места јер је његова Виндовс Упдате-заснован маскирање је побегло са погрешне локације. Мрежни саобраћај који потиче из ове инстанце је конституисан такође веома сумњива активност.
Пошто је Смоке Лоадер-у потребна интернетска веза да би примао даљинске команде, он се ослања на командни и контролни сервер који се налази у оквиру експерименталног, отвореног кода Намецоин мрежна инфраструктура. Према Мицрософт-у, овај сервер говори малверу да спава на одређено време, да се повеже или прекине везу са одређеном ИП адресом, преузме и изврши датотеку са одређене ИП адресе итд.
„За малвер за рударе новчића, упорност је кључна. Ове врсте злонамерног софтвера користе различите технике како би остали неоткривени током дужег временског периода како би рударили новчиће користећи украдене рачунарске ресурсе“, каже Мицрософт. То укључује прављење сопствене копије и скривање у фасцикли Роаминг АппДата и прављење друге копије себе за приступ ИП адресама из фасцикле Темп.
Мицрософт каже да су вештачка интелигенција и детекција заснована на понашању помогли да се то спречи Смоке Лоадер инвазија али компанија не наводи како су жртве примиле малвер. Један од могућих метода је типична е-пошта кампања као што се види са недавним лажним Мелтдовн-ом/Авет закрпе, преваре примаоце да преузму и инсталирају/отварају прилоге.
Надоградите свој животни стилДигитални трендови помажу читаоцима да прате убрзани свет технологије са свим најновијим вестима, забавним рецензијама производа, проницљивим уводницима и јединственим кратким прегледима.
