Windows Defender最近阻止了加密挖掘恶意软件的流行病蔓延到全球数百万台PC。这个名为Dofoil或Smoke Loader的木马计划在Windows Defender检测到时,在受害者的PC上提供一系列硬币矿工有效载荷。
微软首次发现该广告系列,因为其内置的行为监控和机器学习功能,其Windows Defender Antivirus阻止了80,000次攻击。在Windows Defender停留12小时之前,有超过40万人即将被感染。袭击主要集中在俄罗斯(73%检测),土耳其(18%检测)和乌克兰(4%检测)。
然而,在这种情况下,它在受感染的PC上放弃了一个加密货币矿工,以便从受害者的CPU中获得那些背后的木马电子币。
Dofoil或Smoke Loader如何感染
Dofoil通过在合法的explorer.exe二进制文件上实现'process hollowing '来传播。(进程挖空是一种代码注入技术,它涉及产生合法进程的新实例,然后用恶意软件替换合法代码)。
这个加密挖掘恶意软件攻击的第二阶段涉及丢弃硬币挖掘恶意软件,这是一个经过深思熟虑的伪装的一部分,看起来像一个合法的Windows二进制文件wuauclt.exe。虽然,Dofoli能够生成各种加密货币,但在这种情况下,它会产生Electroneum。
为了保持隐藏,Dofoil修改了注册表。挖空的explorer.exe进程在Roaming AppData文件夹中创建原始恶意软件的副本,并将其重命名为ditereah.exe。然后,它会创建一个注册表项或修改现有注册表项以指向新创建的恶意软件副本。例如,
Win32 / Dofoil可能会将自身复制到Windows启动文件夹,例如:
<启动文件夹> \ ctfmon.exe
注意:
它为其副本设置“只读”和“系统属性”。
某些变体也可能使用与合法Windows文件相同的文件名在%appdata%文件夹中复制自身,例如:
%APPDATA%\ csrss.exe的
%APPDATA%\ SMSS.EXE
Dofoli也可以通过电子邮件感染
Dofoil还可以通过电子邮件进行攻击,通过在Microsoft Word文档中嵌入为宏的附件到达受害者的PC。以下是用于附件的文件名示例:
New_Password_IN46537.zip
Invoice_Copy.zip
Facebook_Password.zip
防病毒是必不可少的,并且存在阻止网页加载加密货币挖掘软件的浏览器扩展,但保护自己的最佳方法是小心 - 不要在意外电子邮件中打开附件,并且在点击之前始终检查URL。
更多加密挖掘威胁到来了吗?
由于对加密货币呈指数级增长的兴趣,恶意软件管理人员认为这是一个机会,在他们的攻击中包含加密挖掘恶意软件组件,越来越多的漏洞利用工具包提供硬币矿工而不是勒索软件。而随着Dofoil的到来,它只是变得容易预测,网络犯罪集团都在积极发展自己的方法,并寻求实现更复杂的技术在不久的将来普及挖掘软件说,微软。