Microsoft Windows Defender kæmper for massiv valuta miner angreb

Malware skærm

Microsoft har stoppet en storskala distributionskampagne for malware, der forsøgte at inficere næsten 500,000 Windows-pc'er med en cryptocurrency minearbejder.

Windows Defender-antivirusprogrammet opdagede 80,000-forekomster af flere trojanske heste med nyttelasten kendt som Dofoil eller Røglaster, ved middagstid PST i marts 6.

I løbet af de næste 12 timer hentede Defender over 400,000 flere møder med trojanerne, hovedsagelig i Rusland, men også i Tyrkiet og Ukraine. Dofoil bruger en teknik kaldet 'proceshollowing' på den legitime explorer.exe binære. Teknikken skaber en ny forekomst af den legitime prigram, men bytter sin kode med malware.

"For at være skjult ændrer Dofoil registreringsdatabasen," siger Mark Simos, ledende cybersikkerhedsarkitekt hos Microsofts Enterprise Cybersecurity Group, der skriver på firmaets blog. "Den udhulede explorer.exe-proces opretter en kopi af den oprindelige malware i mappen Roaming AppData og omdøber den til ditereah.exe. Derefter oprettes en registreringsnøgle eller ændrer en eksisterende for at pege på den nyoprettede malware kopi. I den stikprøve, vi analyserede, ændrede malware OneDrive Run-tasten. "

Andre sikkerhedseksperter har påpeget, at Dofoil-koden har mange funktioner rettet mod ting ud over minedrift. Andy Norton, direktør for trussel intelligens i bruddet synlighed specialist Lastline siger: "Hvis du har et AV-værktøj, der fjerner den ondsindede kode, eller omlægning af et inficeret system, synes det at være den rette fremgangsmåde for at afhjælpe denne trussel, men Røglader er meget mere end en simpel downloader, den har mange datatyverfunktioner som mål legitimationsoplysninger. Hvis bare 10-procenten af ​​de 400,000-enheder (hovedsageligt i Rusland) er inficerede, har vi nu 4,000-enheder, der nu er sårbare overfor en langt større trussel end blot minedrift.

Du kan finde ud af mere om angrebet på Microsoft blog.

Image credit: vectorfusionart / Shutterstock

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.