Odkryto nowe złośliwe oprogramowanie do wydobywania kryptowalut

Dwa dni temu Microsoft natknął się na szybko rozprzestrzeniające się zaszyfrowane złośliwe oprogramowanie, które zainfekowało prawie 500 000 komputerów w ciągu zaledwie 12 godzin i w dużej mierze je zablokowało.

Microsoft wykrył to szkodliwe oprogramowanie infekujące prawie 500 000 komputerów

Nazwany Dofoil, zwany Smoke Loader, był tym, który znalazł i odkrył złośliwe oprogramowanie w aplikacji wydobywającej kryptowaluty. Szkodnik zainfekował prawie 500 000 komputerów z systemem Windows, a aplikacja w zasadzie wyjęła monety z Electroneum.

6 marca Windows Defender nagle wykrył ponad 80 000 wystąpień różnych wariantów Dofoil, co wywołało alarm w dziale Microsoft Defender w Windows Defender, aw ciągu następnych 12 godzin zgłoszono ponad 400 000 incydentów.

Zespół dochodzeniowy stwierdził, że wszystkie te przypadki rozprzestrzeniają się szybko w Rosji, Turcji i na Ukrainie. Złośliwe oprogramowanie obecne w aplikacji górniczej było ukryte jako uzasadniony plik binarny systemu Windows, aby uniknąć wykrycia.

Microsoft nie wspomniał, jak te incydenty miały miejsce tak masowo i w tak krótkim czasie. Dofoil używa niestandardowej aplikacji do wydobywania, która może wydobywać różne monety, ale tym razem złośliwe oprogramowanie zostało zaprogramowane do wydobywania monet Electroneum tylko z komputerów, których dotyczy problem.

Według naukowców trojan Dofoil wykorzystuje starą technikę wstrzykiwania kodu o nazwie „Process Hollowing”, która polega na generowaniu nowej instancji zgodnego z prawem procesu ze złośliwym, tak aby drugi kod był wykonywany zamiast oryginalnych narzędzi monitorowania. procesy i antywirus. Metoda, która wydaje się, że tym razem nie była zbyt skuteczna.

Czcionka TheHackerNews