เมื่อวันพฤหัสบดีที่ 8 มีนาคม Microsoft กล่าว ก่อนเที่ยงของวันอังคาร Windows Defender ได้บล็อกการโจมตีมัลแวร์ขนาดใหญ่มากกว่า 80,000 อินสแตนซ์ที่ใช้โทรจันชื่อ Dofoil หรือที่รู้จักในชื่อ Smoke Loader ภายใน 12 ชั่วโมงถัดมา Windows Defender บล็อกอินสแตนซ์อีก 400,000 รายการ การระบาดของควันส่วนใหญ่เกิดขึ้นในรัสเซีย (ร้อยละ 73) ติดตามเอ็ด โดยตุรกี (18 เปอร์เซ็นต์) และยูเครน (4 เปอร์เซ็นต์)
Smoke Loader เป็นโทรจัน ที่สามารถดึงข้อมูลเพย์โหลดจากสถานที่ระยะไกลเมื่อติดไวรัสในพีซี มันเป็น ลเท่าที่เห็นในแพทช์ปลอม สำหรับ การล่มสลายและ Spectre พีโปรเซสเซอร์ วูความสามารถในการเสื่อมสภาพซึ่ง งเป็นเจ้าของเพย์โหลดต่าง ๆ เพื่อจุดประสงค์ที่เป็นอันตราย แต่สำหรับการระบาดในปัจจุบันในรัสเซียและประเทศเพื่อนบ้าน เพย์โหลดของ Smoke Loader คือ การเข้ารหัสลับความซ้ำซ้อน คนขุดแร่
วิดีโอแนะนำ
“เนื่องจากมูลค่าของ Bitcoin และสกุลเงินดิจิทัลอื่น ๆ ยังคงเติบโต ผู้ดำเนินการมัลแวร์จึงมองเห็นโอกาสในการรวมส่วนประกอบการขุดเหรียญไว้ในการโจมตีของพวกเขา” Microsoft กล่าว “ตัวอย่างเช่น ชุดการหาช่องโหว่กำลังส่งมอบเครื่องขุดเหรียญแทนแรนซัมแวร์ นักต้มตุ๋นกำลังเพิ่มสคริปต์การขุดเหรียญในเว็บไซต์หลอกลวงสนับสนุนด้านเทคนิค และตระกูลโทรจันของธนาคารบางตระกูลก็เพิ่มพฤติกรรมการขุดเหรียญ”
เมื่ออยู่บนพีซี โทรจัน Smoke Loader ได้เปิดตัวอินสแตนซ์ใหม่ของ Explorer ใน Windows และวางไว้ในสถานะที่ถูกระงับ จากนั้นโทรจันจะตัดโค้ดบางส่วนที่ใช้เรียกใช้ในหน่วยความจำระบบและเติมมัลแวร์ลงในช่องว่างนั้น หลังจากนั้นมัลแวร์อาจทำงานโดยตรวจไม่พบและลบส่วนประกอบโทรจันที่เก็บไว้ในฮาร์ดไดรฟ์หรือ SSD ของพีซี
ตอนนี้ปลอมตัวเป็นกระบวนการ Explorer ทั่วไปที่ทำงานอยู่เบื้องหลัง มัลแวร์ได้เปิดตัวอินสแตนซ์ใหม่ของบริการ Windows Update AutoUpdate Client อีกครั้ง ส่วนหนึ่งของโค้ดถูกแกะสลักออกมา แต่มัลแวร์การขุดเหรียญกลับเติมเต็มพื้นที่ว่างแทน Windows Defender จับคนขุดแร่คาหนังคาเขาเพราะ Windows Update-ซึ่งเป็นรากฐาน การปลอมตัววิ่งมาจากที่ผิด การรับส่งข้อมูลเครือข่ายที่เกิดจากอินสแตนซ์นี้สร้างขึ้น กิจกรรมที่น่าสงสัยอย่างมากเช่นกัน.
เนื่องจาก Smoke Loader ต้องการการเชื่อมต่ออินเทอร์เน็ตเพื่อรับคำสั่งระยะไกล จึงอาศัยเซิร์ฟเวอร์คำสั่งและการควบคุมที่อยู่ในโอเพ่นซอร์สรุ่นทดลอง เนมคอยน์ โครงสร้างพื้นฐานเครือข่าย ตามข้อมูลของ Microsoft เซิร์ฟเวอร์นี้จะบอกให้มัลแวร์เข้าสู่โหมดสลีปเป็นระยะเวลาหนึ่ง เชื่อมต่อหรือยกเลิกการเชื่อมต่อกับที่อยู่ IP ที่ระบุ ดาวน์โหลดและเรียกใช้ไฟล์จากที่อยู่ IP ที่ระบุและอื่น ๆ
“สำหรับมัลแวร์ขุดเหรียญ ความคงอยู่เป็นสิ่งสำคัญ มัลแวร์ประเภทนี้ใช้เทคนิคต่าง ๆ เพื่อตรวจไม่พบเป็นเวลานานเพื่อขุดเหรียญโดยใช้ทรัพยากรคอมพิวเตอร์ที่ถูกขโมย” Microsoft กล่าว ซึ่งรวมถึงการทำสำเนาของตัวเองและซ่อนอยู่ในโฟลเดอร์ Roaming AppData และทำสำเนาของตัวเองอีกชุดเพื่อเข้าถึงที่อยู่ IP จากโฟลเดอร์ Temp
Microsoft กล่าวว่าปัญญาประดิษฐ์และการตรวจจับตามพฤติกรรมช่วยขัดขวาง เครื่องดูดควัน การบุกรุก แต่ บริษัทไม่ได้ระบุว่าเหยื่อได้รับมัลแวร์อย่างไร วิธีหนึ่งที่เป็นไปได้คืออีเมลทั่วไป แคมเปญ เท่าที่เห็นจากการล่มสลายปลอมล่าสุด/อสุรกาย โปรแกรมแก้ไข หลอกให้ผู้รับดาวน์โหลดและติดตั้ง/เปิดไฟล์แนบ
อัพเกรดไลฟ์สไตล์ของคุณDigital Trends ช่วยให้ผู้อ่านติดตามโลกแห่งเทคโนโลยีที่เปลี่ยนแปลงไปอย่างรวดเร็วด้วยข่าวสารล่าสุด รีวิวผลิตภัณฑ์สนุกๆ บทบรรณาธิการที่เจาะลึก และการแอบดูที่ไม่ซ้ำใคร
