Dofoil cuộc tấn công lớn lượt truy cập Microsoft

Computer Security News

Một vài ngày trước đây, bảo vệ của Windows đã chặn hơn 80.000 trường hợp của một số phiên bản mới của Dofoil (aka khói Loader) downloader. Sau khi phát hiện hành vi bất thường, hậu vệ của Microsoft đã bảo vệ người dùng Windows 10, 8.1, 7 và trong vòng vài phút.

Trong 12 giờ tới, các chuyên gia đăng ký hơn 400.000 trường hợp của phần mềm độc hại Dofoil – 73% ở Nga, 18% ở Thổ Nhĩ Kỳ, và 4% tại Ukraina.

Dofoil downloader thực hiện quá trình hollowing, mà liên quan đến việc sinh sản một trường hợp mới của một quá trình hợp pháp – trong trường hợp này, explorer.exe – và thay thế mã tốt với các phần mềm độc hại. Sau đó, hollowed explorer.exe quay một trường hợp thứ hai giọt và chạy đồng tiền khai thác phần mềm độc hại disguising như nhị phân hợp pháp, wuauclt.exe.

Theo Microsoft, Windows Defender phát hiện vấn đề kể từ “ngay cả khi nó sử dụng tên của một hợp pháp Windows nhị phân, nó chạy từ sai vị trí. Dòng lệnh là bất thường so với nhị phân hợp pháp. Ngoài ra, lưu lượng truy cập mạng từ nhị phân này là đáng ngờ.”

Dofoil liên lạc với C & C máy chủ, vinik.bit, bên trong khuôn khổ phân phối Namecoin. Chuyên gia bảo mật miêu tả Namecoin, “hệ thống của máy chủ DNS khác gốc dựa trên công nghệ Bitcoin.”

Dofoil tải một cryptominer hỗ trợ NiceHash, để cho nó khác nhau cryptocurrencies của tôi.

“Các mẫu chúng tôi phân tích khai thác đồng tiền Electroneum” Microsoft cho biết.

Theo các nhà nghiên cứu, quyết định sử dụng Dofoil rơi Electroneum khai thác phần mềm độc hại có thể được thúc đẩy bởi sự tăng trưởng tiềm năng trong các loại tiền tệ được ủng hộ bởi một chiến dịch lớn đang cố gắng để lây nhiễm gần nửa triệu máy vi tính đặc biệt để lái xe lên giá trị.

“Như đã chứng minh” Microsoft viết, “Windows Defender nâng cao mối đe dọa bảo vệ (Windows Defender ATP) cờ độc hành vi liên quan đến cài đặt, tiêm mã, kiên trì các cơ chế và các hoạt động khai thác mỏ đồng xu. Hoạt động an ninh có thể sử dụng các thư viện phong phú phát hiện trong Windows Defender ATP để phát hiện và đáp ứng với các hoạt động bất thường trong mạng lưới.”

Nói chung, điều này là đúng, Tuy nhiên, không phải tất cả mọi người tin rằng nó đi đủ xa như vậy báo cáo về cơ bản đang tiếp thị tài liệu trình bày các công ty có liên quan trong ánh sáng tốt nhất có thể.

Một trong những nhân vật trong báo cáo của Microsoft mô tả ‘thông báo quá trình cây’ được sử dụng để xác định sự hiện diện của phần mềm độc hại. Điều này bao gồm một băm VirusTotal với bình luận, “VirusTotal phát hiện tỉ lệ 38/ 67.”

Xem xét một thực tế rằng hơn một nửa các công cụ chống phần mềm độc hại được hỗ trợ bởi VirusTotal phân loại tập tin như là phần mềm độc hại, nó là chắc chắn rằng điều này là phần mềm độc hại thực sự.


Leave a Reply

Your email address will not be published. Required fields are marked *