Windows Defender se detuvo con éxito una gran campaña de malware que se trató de infectar a más de 400,000 usuarios. La carga útil de la campaña era un minero criptomoneda. El intento tuvo lugar en marzo 6, y continuó 12 horas, Microsoft reveló recientemente.
Los detalles sobre la campaña de malware detectado recientemente
Según Microsoft, las máquinas dirigidas inicialmente fueron infectadas con el malware Dofoil también conocido como cargador de humo. Como se explica por la empresa, esta familia de troyanos puede descargar y ejecutar otros programas maliciosos en los huéspedes infectados, y en este caso el malware era un minero.
Al parecer,, esto es lo que pasó:
Justo antes del mediodía de marzo 6 (PST), Windows Defender AV bloqueado más de 80,000 casos de varios troyanos sofisticados que exhibieron técnicas de inyección entre procesos avanzados, mecanismos de persistencia, y métodos de evasión. señales basada en el comportamiento, junto con modelos de aprendizaje automático en la nube accionado descubrieron esta nueva ola de intentos de infección.
los troyanos, Microsoft, que se encontró a ser nuevas variantes de Dofoil, fueron la distribución de una moneda (criptomoneda) La minera de carga útil. En el próximo 12 horas, más que 400,000 se registraron casos, 73% de los cuales fueron en Rusia, la compañía dijo en un blog. Turquía representaron 18% y Ucrania 4% de los encuentros mundiales, los números revelados.
Lo detuvieron las campañas de tal manera oportuna son los modelos de aprendizaje automático en la nube potencia basados en el comportamiento de Microsoft que están presentes en Windows Defender. Como se reivindica, estos modelos detectan los intentos de malware en cuestión de milisegundos, los clasificó en cuestión de segundos, y les bloqueado en cuestión de minutos.
Las personas afectadas por estos primeros intentos de infección en la campaña se han visto bloques bajo los nombres de aprendizaje automático como Fuery, Fuerboos, Cloxer, o Azden. bloques posteriores muestran como los nombres propios de la familia, Dofoil o Coinminer,” microsoft declaró.
¿Cómo se produjo el ataque?
La última variante Dofoil trató de aprovechar un proceso legítimo OS - explorer.exe - para inyectar código malicioso. En caso de éxito, el código malicioso se carga un segundo proceso explorer.exe diseñado para descargar y ejecutar un minero criptomoneda. El minero sí se ocultó como un binario legítimo de Windows conocida como wuauclt.exe.
Afortunadamente, Windows Defender detectado rápidamente toda la cadena de actividades como malicioso, porque el binario wuauclt.exe estaba huyendo de la ubicación del disco equivocado.
Además de esto, el binario generó tráfico malicioso porque el minero estaba tratando de conectarse a su servidor de comando y control. El servidor se encuentra en la red descentralizada Namecoin.
El minero estaba tratando a la minera la criptomoneda Electroneum, microsoft dijo. Afortunadamente, Ventanas 10, Ventanas 8.1, y Windows 7 Los sistemas que ejecutan Windows Defender o Microsoft Security Essentials se protegieron de forma automática.