Uusi salaohjelma löydettiin salaustekniikoilleni

Kaksi päivää sitten Microsoft tapasi nopeasti leviävän salatun haittaohjelman, joka tarttui lähes 500 000 tietokonetta vain 12 tunnissa ja esti sen suurelta osin.

Microsoft havaitsi tämän haittaohjelman tartuttaen lähes 500 000 tietokonetta

Kopioitu Dofoil, alias Smoke Loader, löysi ja löysi haittaohjelmia salaustekniikan louhintasovelluksessa. Haittaohjelma tarttui lähes 500 000 Windows-tietokonetta ja sovellus käytti pohjimmiltaan kolikoita Electroneumilta.

Windows Defender havaitsi 6. maaliskuuta yhtäkkiä yli 80 000 tapausta erilaisista Dofoil-versioista, jotka herättivät hälytyksen Microsoftin Defender-osastolla Windows Defenderissä, ja seuraavien 12 tunnin aikana ilmoitettiin yli 400 000 tapausta.

Tutkintaryhmä havaitsi, että kaikki nämä tapaukset levisivät nopeasti Venäjälle, Turkkiin ja Ukrainaan. Kaivossovelluksessa esiintyvä haittaohjelma naamioitiin lailliseksi Windows-binaariksi havaitsemisen kiertämiseksi.

Microsoft ei ole maininnut, kuinka nämä tapaukset tapahtuivat niin massiivisesti ja niin lyhyessä ajassa. Dofoil käyttää mukautettua kaivossovellusta, joka voi kaivoa erilaisia ​​kolikoita, mutta tällä kertaa haittaohjelma ohjelmoitiin kaivaamaan Electroneum-kolikot vain asiaankuuluvista tietokoneista.

Tutkijoiden mukaan Dofoil- troijalainen käyttää vanhaa koodin injektiotekniikkaa nimeltään ”Process Hollowing”, joka koostuu uuden laillisen prosessin esiintymän tuottamisesta haitallisella prosessilla siten, että toinen koodi suoritetaan alkuperäisten seurantavälineiden sijasta. prosessit ja virustorjunta. Menetelmä, joka vaikuttaa siltä, ​​ettei se ole kovin tehokas sanomme tällä kertaa.

TheHackerNews-fontti