Два дня назад Майкрософт столкнулась с быстро распространяющимся вредоносным программным обеспечением, которое заразило почти 500 000 компьютеров всего за 12 часов и успешно заблокировало его в значительной степени.
Копия трояна Dofoil (еще его называют Smoke Loader) был найден после того, как он установил софт для майнинга Electroneum (новая криптовалюта набирающая популярность) на зараженных компьютерах Windows.
6 марта Windows Defender неожиданно обнаружил более 80 000 экземпляров нескольких вариантов Dofoil, которые подняли тревогу в отделе исследований Microsoft Windows Defender, и в течение следующих 12 часов было записано более 400 000 экземпляров.
Однако Microsoft не упомянула, как эти экземпляры были доставлены такой массовой аудитории за такой короткий промежуток времени.
Исследовательская группа обнаружила, что все эти случаи заражения завершаются установкой майнера, который маскируется под двоичный файл Windows, чтобы избежать обнаружения. Этот малварь очень быстро распространяется по России, Турции и Украине.
Dofoil использует майнер для добычи добычи разных криптовалют, но был настроен именно на майнинг Electroneum.
По словам исследователей, троян Dofoil использует старую технику инъекции кода, называемую «подлогом процесса», которая включает в себя создание нового экземпляра законного процесса с вредоносным кодом, так что второй запускаемый код не вызывает подозрений у антивируса.
«В результате копирования процесса explorer.exe создается второй вредоносный экземпляр, который и запускает вредоносное ПО для добычи криптовалюты, маскируясь как законный двоичный файл Windows, wuauclt.exe».
Чтобы оставаться незамеченным в зараженной системе в течение длительного времени, а также переводить Electroneum с использованием украденных компьютерных ресурсов, троян Dofoil изменяет реестр Windows.
«Процесс explorer.exe создает копию исходного вредоносного ПО в папке «Roaming AppData» и переименовывает его в файл ditereah.exe», — говорят исследователи. Затем он создает ключ реестра или изменяет существующий, чтобы указать на недавно созданную копию вредоносного ПО. В анализируемом образце вредоносное ПО модифицировало ключ OneDrive Run.
Dofoil также подключается к удаленному серверу управления и управления (C & C), размещенному на децентрализованной сетевой инфраструктуре Namecoin, и слушает новые команды, включая установку дополнительных вредоносных программ.
Microsoft говорит, что мониторинг поведения и методы машинного обучения на основе искусственного интеллекта, используемые Защитником Windows Defender, сыграли важную роль в обнаружении и блокировании этой массовой кампании вредоносных программ. Кстати в новом отчете Cisco по кибербезопасности написано о подобного рода зловредах, которые могут распространяться без вмешательства человека. Это одна из опаснейших угроз в будущем.
