Windows Defender gestoppt erfolgreich eine große Malware-Kampagne, die mehr zu infizieren versucht, als 400,000 Benutzer. Die Nutzlast der Kampagne war eine Kryptowährung Bergmann. Der Versuch fand am März 6, und es fortgesetzt 12 Stunden, Microsoft hat vor kurzem enthüllt.
Details zu der kürzlich Malware-Kampagne entdeckt
Laut Microsoft, die gezielten Maschinen wurden zunächst mit dem Dofoil Malware infiziert auch als Rauch Loader bekannt. Wie das Unternehmen erklärt, Diese Trojaner-Familie können auch andere Malware auf infizierte Rechner herunterladen und ausführen, und in diesem Fall war die Malware ein Bergmann.
Offenbar, Das ist, was passiert ist:
Kurz vor Mittag am März 6 (PST), Windows Defender AV blockiert mehr als 80,000 Instanzen mehr anspruchsvollen Trojaner, die gepfeilte-Prozess Injektionstechniken ausgestellt, Persistenzmechanismen, und die Ausweichmethoden. Behavior basierten Signalen gekoppelt mit Cloud betriebenen Maschine Lernmodelle aufgedeckt diese neue Welle Infektionsversuche.
die Trojaner, die gefunden Microsoft neue Varianten von Dofoil erwiesen, wurden Verteilen einer Münze (Kryptowährung) Bergmann Nutzlast. Innerhalb der nächsten 12 Stunden, mehr als 400,000 Instanzen wurden aufgezeichnet, 73% davon waren in Russland, das Unternehmen, sagte in einem Blog-Post. Türkei entfielen 18% und der Ukraine 4% der globalen Begegnungen, die Zahlen aufgedeckt.
Was hielt die Kampagnen in so rechtzeitig ist Microsofts verhaltensbasierte Cloud-betriebene Maschine Lernmodelle, die in Windows Defender vorhanden sind. wie beansprucht, Diese Modelle detektiert die Malware Versuche innerhalb von Millisekunden, klassifiziert sie innerhalb von Sekunden, und blockiert sie innerhalb von Minuten.
Menschen, die von dieser Infektion Versuche früh in der Kampagne betroffen würden Blöcke unter maschinelles Lernen Namen wie Fuery haben gesehen,, Fuerboos, Cloxer, oder Azden. Später Blöcke zeigen, wie die richtigen Familiennamen, Dofoil oder Coinminer,” Microsoft erklärt.
Wie kam der Angriff?
Die neueste Dofoil Variante versucht ein berechtigtes OS Prozess zu nutzen - explorer.exe - Schadcode einschleusen. Bei Erfolg, der bösartige Code würde einen zweiten explorer.exe Prozess lädt entworfen zum Herunterladen und einen Kryptowährung Bergmann läuft. Der Bergmann selbst wurde als legitime Windows-Binary als wuauclt.exe bekannt verborgen.
Zum Glück, Windows Defender schnell erkannt, die gesamte Kette von Aktivitäten als schädlich, weil die wuauclt.exe binären von dem falschen Plattenort ausgeführt wurde.
Außerdem, die binäre gelaicht schädlichen Datenverkehr, da der Bergmann auf seine Kommando- und Kontrollserver zu verbinden versucht. Der Server wurde auf dem dezentralen Namecoin Netzwerk befindet.
Der Bergmann versucht, die Electroneum Kryptowährung Miner, Microsoft sagte,. Zum Glück, Fenster 10, Fenster 8.1, und Windows 7 Windows Defender oder Microsoft Security Essentials-Systeme ausgeführt wurden, automatisch geschützt.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: