Loading...

malware kriptocurrency berkembang pesat yang menginfeksi hampir 500.000 komputer



Dua hari yang lalu, Microsoft mengalami malware kriptocurrency yang berkembang pesat yang menginfeksi hampir 500.000 komputer hanya dalam waktu 12 jam dan berhasil memblokir untuk sebagian besar DATA.

Dijuluki Dofoil, alias Smoke Loader, perangkat lunak perusak ditemukan menjatuhkan program penambang kriptocurrency seperti muatan pada komputer Windows yang terinfeksi yang mengumpulkan koin Electroneum, namun ada kripto yang lain, untuk penyerang yang menggunakan CPU korban.

Pada tanggal 6 Maret, Windows Defender tiba-tiba mendeteksi lebih dari 80.000 contoh beberapa varian Dofoil yang meningkatkan alarm di departemen riset Microsoft Windows Defender, dan dalam 12 jam ke depan, lebih dari 400.000 dicatat.

Tim peneliti menemukan bahwa semua kasus ini, yang menyebar dengan cepat ke seluruh Rusia, Turki, dan Ukraina, membawa muatan pertambangan digital, yang menyamar sebagai biner Windows yang sah untuk menghindari deteksi.
Namun, Microsoft belum menyebutkan bagaimana contoh-contoh ini dikirim ke audiens yang begitu besar di tempat pertama dalam periode singkat ini.
Dofoil menggunakan aplikasi pertambangan yang disesuaikan yang bisa menambang kripto yang berbeda, namun dalam kampanye ini, malware diprogram untuk menambang koin Electroneum saja.

Menurut para periset, trojan Dofoil menggunakan teknik injeksi kode lama yang disebut 'proses lekukan' yang melibatkan contoh baru dari proses yang berbahaya sehingga kode kedua berjalan alat pemindaian proses dan proses manipulasi yang asli. menjadi percaya bahwa proses asli berjalan.
"Proses explorer.exe yang dilubangi kemudian memutar instance berbahaya kedua, yang menjatuhkan dan menjalankan malware pertambangan koin yang menyamar sebagai biner Windows yang sah, wuauclt.exe."




Untuk tetap bertahan pada sistem yang terinfeksi untuk waktu yang lama untuk menambang koin Electroneum menggunakan sumber daya komputer yang dicuri, trojan Dofoil memodifikasi registri Windows.

"Proses explorer.exe yang dilubangi membuat salinan malware asli di folder Roaming AppData dan mengganti nama menjadi ditereah.exe," kata periset. "Kemudian, buat kunci registri atau modifikasi yang ada untuk menunjukkan salinan malware yang baru dibuat. Dalam sampel yang kami analisis, malware memodifikasi kunci OneDrive Run."
Dofoil juga terhubung ke server perintah dan kontrol jarak jauh (C & C) yang berada di infrastruktur jaringan Namecoin yang terdesentralisasi dan mendengarkan perintah baru, termasuk pemasangan malware tambahan.
Microsoft mengatakan bahwa pemantauan perilaku dan teknik pembelajaran berbasis teknik Artificial Intelligence yang digunakan oleh Windows Defender Antivirus telah memainkan peran penting untuk mendeteksi dan memblokir kampanye malware besar-besaran ini.
Loading...

Post a Comment

0 Comments