Защитник Windows уничтожает 80 000 экземпляров троянцев для майнинга криптовалюты

На этой неделе Microsoft Windows Defender усердно работал, и, по словам Microsoft, незадолго до полудня 6 марта антивирусный пакет затормозил 80 000 экземпляров нескольких сложных трояны . Эти трояны были особенно подлыми, потому что у них были передовые методы межпроцессного внедрения, механизмы сохранения и методы уклонения. Все трояны являются новыми версиями Dofoil (также известного как Smoke Loader), и они несут полезную нагрузку для майнинга монет.

Microsoft написала: «В течение следующих 12 часов было зарегистрировано более 400 000 случаев, 73% из которых были в России. На Турцию приходилось 18%, а на Украину — 4% глобальных встреч».

Microsoft отмечает, что Windows Defender AV пометил «необычный механизм персистентности» атаки с помощью мониторинга поведения и отправил информацию в основанный на поведении сигнал в службу облачной защиты. Microsoft отмечает, что пользователи Windows 10, 8.1 и 7, использующие Windows Defender AV или Microsoft Security Essentials, защищены от этой вспышки.

Microsoft написала: «В течение миллисекунд несколько моделей машинного обучения на основе метаданных в облаке начали блокировать эти угрозы с первого взгляда. После анализа наша группа реагирования обновила классификационное название этого нового всплеска угроз до соответствующих семейств вредоносных программ. эти попытки заражения в начале кампании были бы заблокированы под именами машинного обучения, такими как Fuery, Fuerboos, Клоксер или Азден. Более поздние блоки показывают в виде собственные фамилии, Dofoil или майнер .»

Dofoil — одна из последних (из многих) атак вредоносных программ, в которых используются майнеры монет. Ценность криптовалюты побудила многих разработчиков вредоносных программ интегрировать программное обеспечение для майнинга в свои атаки. Microsoft заявляет, что наборы эксплойтов доставляют майнеры монет, а не программы-вымогатели. Dofoil начал с трояна, который выполняет долбление процесса в explorer.exe. Очистка процессов — это атака, которая создает новый экземпляр законного процесса и заменяет законный код вредоносным ПО. Пустой процесс explorer.exe может запускать вредоносное ПО для майнинга монет, которое скрывается под законным двоичным файлом Windows под названием wuauclt.exe.

Microsoft отмечает, что функция управления и контроля вредоносной программы использует децентрализованную сетевую инфраструктуру Namecoin. Microsoft написала: «Полый процесс explorer.exe записывает и запускает другой двоичный файл, D1C6.tmp.exe, в папку Temp. Затем D1C6.tmp.exe удаляет и выполняет свою копию с именем lyk.exe. После запуска lyk.exe подключается к IP-адресам, которые действуют как DNS-прокси-серверы для сети Namecoin.
Затем он пытается подключиться к C&C-серверу . виник . кусочек внутри инфраструктуры NameCoin. C&C-сервер отдает вредоносному ПО команду подключиться или отключиться от IP-адреса; загрузить файл с определенного URL-адреса и выполнить или завершить конкретный файл; или поспать какое-то время».

Источник (англ.)