Windows Defender interrotto con successo una grande campagna di malware che ha cercato di infettare più di 400,000 utenti. Il carico utile della campagna era un minatore criptovaluta. Il tentativo ha avuto luogo il marzo 6, e continuò 12 orario, Microsoft ha recentemente rivelato.
Dettagli sulla campagna di malware di recente rilevato
Secondo Microsoft, le macchine mirati sono stati inizialmente infettati con il malware Dofoil noto anche come caricatore di fumo. Come spiegato dalla società, questa famiglia di Trojan può scaricare ed eseguire altri malware su host infetti, e in questo caso il malware era un minatore.
Apparentemente, Questo è quello che è successo:
Poco prima di mezzogiorno di marzo 6 (PST), Windows Defender AV bloccato più di 80,000 le istanze di diversi trojan sofisticate che mostravano tecniche avanzate di iniezione di cross-processo, meccanismi di persistenza, e metodi di evasione. segnali basati sul comportamento accoppiato con modelli di apprendimento automatico cloud alimentata scoperto questa nuova ondata di tentativi di infezione.
i troiani, che Microsoft ha scoperto di essere nuove varianti di Dofoil, sono stati la distribuzione di una moneta (criptovaluta) minatore payload. Entro il prossimo 12 orario, più di 400,000 sono stati registrati casi, 73% dei quali erano in Russia, la società ha detto in un post sul blog. La Turchia ha rappresentato il 18% e l'Ucraina 4% degli incontri globali, i numeri hanno rivelato.
Quali fermato alle campagne in modo così tempestivo è modelli di apprendimento automatico di Microsoft basati sul comportamento cloud-powered che sono presenti in Windows Defender. come rivendicato, questi modelli rilevati i malware tenta all'interno millisecondi, li classificate in pochi secondi, e bloccate in pochi minuti.
Le persone affette da questi tentativi di infezione nelle prime fasi della campagna avrebbero visto blocchi con nomi di machine learning come Fuery, Fuerboos, Cloxer, o Azden. isolati più avanti mostrano come i cognomi corretti, Dofoil o Coinminer,” Microsoft ha dichiarato.
Come ha fatto l'attacco accadere?
L'ultima variante Dofoil ha tentato di sfruttare un legittimo processo operativo - explorer.exe - per iniettare codice dannoso. in caso di successo, il codice maligno potrebbe caricare un secondo processo explorer.exe progettato per scaricare ed eseguire un minatore criptovaluta. Il minatore in sé è stato nascosto come un binario legittima di Windows nota come wuauclt.exe.
Per fortuna, Windows Defender rilevato rapidamente l'intera catena di attività come dannoso, perché il binario wuauclt.exe era in esecuzione dalla posizione del disco sbagliato.
In aggiunta a questo, il binario ha generato traffico dannoso in quanto il minatore stava tentando di connettersi al suo server di comando e controllo. Il server è stato situato sulla rete decentralizzata Namecoin.
Il minatore stava cercando di minatore criptovaluta Electroneum, Microsoft ha detto. Per fortuna, Windows 10, Windows 8.1, e Windows 7 sistemi che eseguono Windows Defender o Microsoft Security Essentials sono stati protetti automaticamente.