8 Mart Perşembe günü Microsoft şunları söyledi: Salı günü öğleden hemen önce, Windows Defender'ın, Duman Yükleyici olarak da bilinen Dofoil adlı bir truva atını kullanan büyük bir kötü amaçlı yazılım saldırısının 80.000'den fazla örneğini engellediğini söyledi. Sonraki 12 saat içinde, Windows Defender 400.000 örneği daha engelledi. Duman salgınının büyük kısmı Rusya'da gerçekleşti (yüzde 73) takip etmekEd Türkiye (yüzde 18) ve Ukrayna (yüzde 4).
Smoke Loader bir truva atıdır Bir PC'ye bulaştığında uzak bir konumdan bir veriyi alabilen bir yazılım. Oldu bensahte bir yamada görüldü için Erime ve Spectre Pişlemci vuyenilmezlikler DKötü amaçlarla çeşitli veriler yüklendi. Ancak Rusya ve komşu ülkelerdeki mevcut salgına gelince, Duman Yükleyicinin yükü bir kripto parakira madenci.
Önerilen Videolar
Microsoft, "Bitcoin ve diğer kripto para birimlerinin değeri artmaya devam ettiğinden, kötü amaçlı yazılım operatörleri saldırılarına madeni para madenciliği bileşenlerini dahil etme fırsatını görüyor" dedi. “Örneğin, istismar kitleri artık fidye yazılımı yerine madeni para madencileri sağlıyor. Dolandırıcılar, teknik destek dolandırıcılığı web sitelerine madeni para madenciliği komut dosyaları ekliyor. Ve bazı bankacılık truva atı aileleri, madeni para madenciliği davranışı ekledi.”
Smoke Loader truva atı PC'ye girdikten sonra Windows'ta Explorer'ın yeni bir örneğini başlattı ve onu askıya alma durumuna getirdi. Truva atı daha sonra kodun bir kısmını oyarak sistem belleğinde çalıştırmak için kullandı ve bu boş alanı kötü amaçlı yazılımla doldurdu. Bundan sonra, kötü amaçlı yazılım tespit edilmeden çalışabilir ve bilgisayarın sabit sürücüsünde veya SSD'sinde depolanan truva atı bileşenlerini silebilir.
Artık arka planda çalışan tipik Explorer işlemi görünümüne bürünen kötü amaçlı yazılım, Windows Update Otomatik Güncelleştirme İstemcisi hizmetinin yeni bir örneğini başlattı. Yine kodun bir bölümü çıkarıldı, ancak bunun yerine madeni para madenciliği kötü amaçlı yazılımı dolduruldu. Windows Defender, Windows Güncellemesi nedeniyle madenciyi suçüstü yakaladı.temelli kılık değiştirme yanlış yerden kaçtı. Bu örnekten kaynaklanan ağ trafiği oluşturuldu aynı zamanda son derece şüpheli etkinlik.
Smoke Loader'ın uzaktan komutları almak için internet bağlantısına ihtiyacı olduğundan, deneysel, açık kaynaklı bir komut ve kontrol sunucusuna güvenir. İsim parası ağ altyapısı. Microsoft'a göre bu sunucu, kötü amaçlı yazılıma belirli bir süre boyunca uyumasını, belirli bir IP adresine bağlanmasını veya bağlantısını kesmesini, belirli bir IP adresinden bir dosya indirip yürütmesini vb. söyler.
“Coin madenciliğine yönelik kötü amaçlı yazılımlar için kalıcılık çok önemlidir. Bu tür kötü amaçlı yazılımlar, çalınan bilgisayar kaynaklarını kullanarak madeni para madenciliği yapmak amacıyla uzun süre fark edilmemek için çeşitli teknikler kullanıyor" diyor Microsoft. Bu, kendisinin bir kopyasını oluşturmayı ve Roaming AppData klasöründe saklanmayı ve Temp klasöründen IP adreslerine erişmek için kendisinin başka bir kopyasını oluşturmayı içerir.
Microsoft, yapay zeka ve davranış tabanlı algılamanın bu durumu engellemeye yardımcı olduğunu söylüyor Duman Yükleyici istila Ancak şirket, kurbanların kötü amaçlı yazılımı nasıl aldığını belirtmiyor. Olası bir yöntem tipik e-postadır kampanya son sahte Meltdown'da görüldüğü gibi/Hayalet alıcıları ekleri indirmeleri ve yüklemeleri/açmaları için kandıran yama.
Yaşam tarzınızı yükseltinDigital Trends, en son haberler, eğlenceli ürün incelemeleri, anlayışlı başyazılar ve türünün tek örneği olan ön incelemelerle okuyucuların teknolojinin hızlı tempolu dünyasını takip etmelerine yardımcı olur.
