Windows Defender held standsede en stor malware kampagne, der forsøgte at inficere mere end 400,000 brugere. Nyttelasten med kampagnen var en cryptocurrency minearbejder. Forsøget fandt sted den marts 6, og det fortsatte 12 timer, Microsoft for nylig afsløret.
Detaljer om den nyligt opdaget malware kampagne
Ifølge Microsoft, de målrettede maskiner blev oprindeligt inficeret med Dofoil malware også kendt som Røg Loader. Som forklaret af selskabet, denne familie af trojanere kan downloade og køre andre malware på inficerede værter, og i dette tilfælde malware var en minearbejder.
Tilsyneladende, dette er, hvad der skete:
Lige før middagstid på marts 6 (PST), Windows Defender AV blokeret mere end 80,000 forekomster af flere sofistikerede trojanske heste, der udviste avancerede cross-proces injektionsteknik, persistens mekanismer, og unddragelse metoder. Adfærdsbaserede signaler kombineret med skyen maskinindlæringsmodeller afdækket denne nye bølge af infektion forsøg.
trojanerne, som Microsoft fandt ud af at være nye varianter af Dofoil, uddelte en mønt (cryptocurrency) minearbejder nyttelast. Inden for den næste 12 timer, mere end 400,000 tilfælde blev registreret, 73% af disse var i Rusland, siger virksomheden i et blogindlæg. Tyrkiet tegnede sig for 18% og Ukraine 4% af de globale møder, numrene afsløret.
Hvad standset kampagnerne i sådan rettidigt er Microsofts adfærd-baserede cloud-drevne maskine learning modeller, der er til stede i Windows Defender. Som hævdede, disse modeller opdaget malware forsøg inden for millisekunder, klassificeret dem på få sekunder, og blokerede dem inden for minutter.
Mennesker ramt af disse infektion forsøg tidligt i kampagnen ville have set blokke under machine learning navne som Fuery, Fuerboos, Cloxer, eller Azden. Senere blokke vises som de rigtige efternavne, Dofoil eller Coinminer,” Microsoft erklærede.
Hvordan har angrebet ske?
Den seneste Dofoil varianten forsøgt at udnytte en legitim OS proces - explorer.exe - at injicere skadelig kode. efter succes, den skadelige kode ville indlæse en anden explorer.exe proces, der skal hente og køre en cryptocurrency minearbejder. Den minearbejder selv var skjult som en legitim Windows binær kendt som wuauclt.exe.
Heldigvis, Windows Defender hurtigt opdages hele kæden af aktiviteter som skadelig, fordi den wuauclt.exe binære kørte fra den forkerte disk placering.
Ud over dette, den binære opfostrede ondsindet trafik, fordi den minearbejder forsøgte at oprette forbindelse til sin kommando og kontrol-server. Serveren blev placeret på den decentrale Namecoin netværk.
Den minearbejder forsøgte at Miner den Electroneum cryptocurrency, Microsoft sagde. Heldigvis, Vinduer 10, Vinduer 8.1, og Windows 7 systemer, der kører Windows Defender eller Microsoft Security Essentials blev automatisk beskyttet.