Windows Defender avec succès une grande stoppée campagne des logiciels malveillants qui ont essayé d'infecter plus de 400,000 utilisateurs. La charge utile de la campagne était un mineur de crypto-monnaie. La tentative a eu lieu en Mars 6, et il a continué 12 heures, Microsoft a récemment révélé.
Détails sur la campagne malware récemment détecté
Selon Microsoft, les machines ciblées ont d'abord été infectées par le malware Dofoil également connu sous le nom chargeur de fumée. Comme expliqué par la société, cette famille de chevaux de Troie peut télécharger et exécuter d'autres programmes malveillants sur les hôtes infectés, et dans ce cas le logiciel malveillant était mineur.
Apparemment, c'est ce qui s'est passé:
Juste avant midi, le Mars 6 (TVP), Windows Defender AV bloqué plus de 80,000 cas de plusieurs trojans sophistiqués qui ont montré des techniques avancées d'injection inter-processus, mécanismes de persistance, et des méthodes d'évasion. signaux basés sur le comportement couplés à des modèles d'apprentissage machine sous tension nuage découvert cette nouvelle vague de tentatives d'infection.
les chevaux de Troie, Microsoft qui a découvert comme de nouvelles variantes de Dofoil, distribuaient une pièce de monnaie (crypto-monnaie) charge utile mineur. Au cours du prochain 12 heures, plus que 400,000 des cas ont été enregistrés, 73% dont étaient en Russie, la société a déclaré dans un blog. Turquie ont représenté 18% et de l'Ukraine 4% des rencontres mondiales, les chiffres ont révélé.
Que les campagnes arrêté dans un des modèles d'apprentissage de la machine à propulsion cloud en temps opportun est basée sur le comportement de Microsoft qui sont présents dans Windows Defender. selon, ces modèles détectés les tentatives de logiciels malveillants en quelques millisecondes, les secondes classées dans, et les bloquer en quelques minutes.
Les personnes touchées par ces tentatives d'infection au début de la campagne auraient vu des blocs sous des noms d'apprentissage de la machine comme Fuery, Fuerboos, Cloxer, ou Azden. blocs plus tard montrent que les noms de famille appropriés, Dofoil ou Coinminer,” Microsoft a déclaré.
Comment l'attaque se produit?
La dernière variante Dofoil a tenté de tirer parti d'un processus de système d'exploitation légitime - explorer.exe - pour injecter du code malveillant. En cas de succès, le code malveillant charger un second processus explorer.exe conçu pour télécharger et exécuter un mineur crypto-monnaie. Le mineur lui-même était caché comme un binaire légitime de Windows connu sous le nom wuauclt.exe.
Heureusement, Windows Defender détectée rapidement toute la chaîne des activités malveillantes car le binaire wuauclt.exe était en cours d'exécution du mauvais emplacement du disque.
De plus, le binaire a donné naissance le trafic malveillant, car le mineur tente de se connecter à son serveur de contrôle et commande. Le serveur était situé sur le réseau décentralisé Namecoin.
Le mineur a essayé de miner la Electroneum crypto-monnaie, Microsoft a déclaré. Heureusement, Fenêtres 10, Fenêtres 8.1, et Windows 7 les systèmes exécutant Windows Defender ou Microsoft Security Essentials ont été automatiquement protégés.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: