Tika atklāta jauna ļaunprogrammatūra, kas ieguvusi kriptovalūtas

Pirms divām dienām Microsoft saskārās ar ātri izplatītu šifrētu ļaunprogrammatūru, kas tikai 12 stundu laikā inficēja gandrīz 500 000 datoru un lielā mērā to bloķēja.

Microsoft atklāja šo ļaundabīgo programmatūru, inficējot gandrīz 500 000 datoru

Dublētais Dofoil, saukts arī par Smoke Loader, bija tas, kurš kriptovalūtas ieguves lietotnē atrada un atklāja ļaunprogrammatūru. Ļaunprātīgā programmatūra inficēja gandrīz 500 000 Windows datoru un lietojumprogramma pamatā izņēma monētas no Electroneum.

6. martā Windows Defender pēkšņi atklāja vairāk nekā 80 000 dažādu Dofoil variantu gadījumu, kas izraisīja trauksmi Microsoft Windows Defender izmeklēšanas nodaļā, un nākamo 12 stundu laikā tika ziņots par vairāk nekā 400 000 negadījumiem.

Izmeklēšanas grupa atklāja, ka visi šie gadījumi strauji izplatījās visā Krievijā, Turcijā un Ukrainā. Kalnrūpniecības lietojumprogrammā esošā ļaunprātīgā programmatūra tika slēpta kā likumīgs Windows binārs, lai izvairītos no atklāšanas.

Microsoft nav pieminējis, kā šie negadījumi notika tik masveidā un tik īsā laika posmā. Dofoil izmanto pielāgotu kalnrūpniecības lietojumprogrammu, kas var mīnēt dažādas monētas, taču šoreiz ļaunprogrammatūra tika ieprogrammēta, lai mīnu Electroneum monētas iegūtu tikai no ietekmētajiem datoriem.

Pēc pētnieku domām, Dofoil Trojan izmanto vecu koda iesmidzināšanas paņēmienu ar nosaukumu “Process Hollowing”, kas sastāv no jauna likumīga procesa ar ļaunprātīgu procesu ģenerēšanas, lai oriģinālo uzraudzības rīku vietā tiktu izpildīts otrais kods. procesus un antivīrusu. Metode, kas, šķiet, nebija īsti efektīva, ko šoreiz sakām.

TheHackerNews fonts