Torsdagen den 8 mars sa Microsoft att strax före lunchtid på tisdagen blockerade Windows Defender mer än 80 000 fall av en massiv skadlig attack som använde en trojan som heter Dofoil, även känd som Smoke Loader. Inom de följande 12 timmarna, Windows Defender blockerade ytterligare 400 000 instanser. Det mesta av det rökiga utbrottet ägde rum i Ryssland (73 procent) Följed av Turkiet (18 procent) och Ukraina (4 procent).
Smoke Loader är en trojan som kan hämta en nyttolast från en avlägsen plats när den infekterar en dator. Det var lsom sett i en falsk patch för Meltdown och Spectre sidrocessor vulnerabiliteter, som degenladdade olika nyttolaster i skadliga syften. Men för det nuvarande utbrottet i Ryssland och dess grannländer, Smoke Loaders nyttolast var en kryptokurrency gruvarbetare.
Rekommenderade videor
"Eftersom värdet på Bitcoin och andra kryptovalutor fortsätter att växa, ser operatörer av skadlig programvara möjligheten att inkludera myntbrytningskomponenter i sina attacker," sa Microsoft. "Till exempel levererar exploateringssatser nu myntgruvarbetare istället för ransomware. Bedragare lägger till myntbrytningsskript på bluffwebbplatser för teknisk support. Och vissa banktrojanska familjer lade till myntbrytningsbeteende."
Väl på PC: n lanserade Smoke Loader-trojanen en ny instans av Explorer i Windows och placerade den i viloläge. Trojanen skar sedan ut en del av koden som användes för att köras i systemminnet och fyllde det tomma utrymmet med skadlig kod. Efter det kan skadlig programvara köras oupptäckt och radera trojankomponenterna som är lagrade på datorns hårddisk eller SSD.
Nu förklädd som den typiska Explorer-processen som körs i bakgrunden, lanserade skadlig programvara en ny instans av Windows Update AutoUpdate Client-tjänsten. Återigen, en del av koden skars ut, men coin mining malware fyllde det tomma utrymmet istället. Windows Defender tog gruvarbetaren på bar gärning eftersom dess Windows Update-baserad förklädnad sprang från fel plats. Nätverkstrafik som härrör från denna instans utgjordes också mycket misstänkt aktivitet.
Eftersom Smoke Loader behöver en internetanslutning för att ta emot fjärrkommandon, förlitar den sig på en kommando- och kontrollserver som finns inom den experimentella, öppen källkod Namnmynt nätverksinfrastruktur. Enligt Microsoft säger den här servern åt skadlig programvara att sova under en tid, ansluta eller koppla från en specifik IP-adress, ladda ner och köra en fil från en specifik IP-adress, och så vidare.
"För coin Miner malware är uthållighet nyckeln. Dessa typer av skadlig programvara använder olika tekniker för att förbli oupptäckta under långa perioder för att bryta mynt med stulna datorresurser, säger Microsoft. Det inkluderar att göra en kopia av sig själv och gömma sig i mappen Roaming AppData och göra en annan kopia av sig själv för att komma åt IP-adresser från Temp-mappen.
Microsoft säger att artificiell intelligens och beteendebaserad upptäckt hjälpte till att omintetgöra Röklastare invasion men företaget anger inte hur offren tog emot skadlig programvara. En möjlig metod är den typiska e-posten kampanj som sett med den senaste falska Meltdown/Spöke patch, lura mottagare att ladda ner och installera/öppna bilagor.
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
