A kriptovaluták bányászására felfedezett új rosszindulatú programokat

Két nappal ezelőtt a Microsoft felismerte a gyorsan elterjedő, titkosított rosszindulatú programokat, amelyek mindössze 12 órán belül fertőzöttek közel 500 000 számítógépet, és nagyrészt blokkolták azt.

A Microsoft észlelte ezt a rosszindulatú programot, amely közel 500 000 számítógépet fertőzött meg

A Dubbo Dofoil, más néven a Smoke Loader volt az, amely rosszindulatú programokat talált és fedezett fel egy kriptovaluta bányász alkalmazásban. A rosszindulatú program csaknem 500 000 Windows számítógépet fertőzött meg, és az alkalmazás alapvetően érméket vett ki az Electroneumból.

Március 6-án a Windows Defender hirtelen több mint 80 000 példányt észlelt a Dofoil különféle változataiban, amelyek felhívták a riasztást a Microsoft Windows Defender vizsgálati osztályán, és a következő 12 órában több mint 400 000 eseményről számoltak be.

A nyomozócsoport megállapította, hogy ezek az esetek gyorsan elterjedtek Oroszországban, Törökországban és Ukrajnában. A bányászati ​​alkalmazásokban található rosszindulatú programokat legitim Windows binárisan álcázta, hogy elkerüljék az észlelést.

A Microsoft nem említette, hogy ezek az események milyen masszív módon és rövid idő alatt fordultak elő. A Dofoil olyan egyedi bányászati ​​alkalmazást használ, amely különféle érméket bányászhat, de ezúttal a rosszindulatú programot az Electroneum érmék bányászására csak az érintett számítógépektől programozták be.

A kutatók szerint a Dofoil trójai a „Process Hollowing” elnevezésű régi kódbefecskendezési technikát alkalmazza, amely egy legitim folyamat rosszindulatú folyamattal történő előállítását foglalja magában, így a második kódot az eredeti megfigyelő eszközök helyett hajtják végre. folyamatok és antivírusok. Olyan módszer, amelyről úgy tűnik, hogy ezúttal nem volt túl hatékony.

TheHackerNews betűtípus