Windows Defenderは、以上の感染を試みた大規模なマルウェアキャンペーンを正常に停止しました。 400,000 ユーザー. キャンペーンのペイロードは暗号通貨マイナーでした. 試みは3月に行われました 6, そしてそれは続きました 12 時間, マイクロソフトは最近明らかにした.
最近検出されたマルウェアキャンペーンの詳細
Microsoftによると, 対象のマシンは当初、SmokeLoaderとも呼ばれるDofoilマルウェアに感染していました。. 会社が説明したように, このトロイの木馬ファミリーは、感染したホストに他のマルウェアをダウンロードして実行できます, この場合、マルウェアは鉱夫でした.
どうやら, これが起こったことです:
3月の正午直前 6 (PST), WindowsDefenderAVは以上をブロックしました 80,000 高度なクロスプロセス注入技術を示したいくつかの洗練されたトロイの木馬のインスタンス, 永続性メカニズム, と回避方法. クラウドを利用した機械学習モデルと組み合わせた行動ベースの信号により、この新しい感染の波が明らかになりました.
トロイの木馬, マイクロソフトがDofoilの新しい亜種であることがわかった, コインを配っていた (暗号通貨) マイナーペイロード. 次の中で 12 時間, より多い 400,000 インスタンスが記録されました, 73% そのうちロシアにいた, 同社はブログ投稿で述べた. トルコが 18% とウクライナ 4% グローバルな出会いの, 明らかにされた数.
このようなタイムリーな方法でキャンペーンを停止したのは、WindowsDefenderに存在するMicrosoftの動作ベースのクラウドベースの機械学習モデルです。. 主張されているように, これらのモデルは、ミリ秒以内にマルウェアの試行を検出しました, 数秒以内にそれらを分類しました, 数分以内にそれらをブロックしました.
キャンペーンの初期にこれらの感染の試みの影響を受けた人々は、Fueryのような機械学習の名前でブロックを見たでしょう, Fuerboos, クロクサー, またはAzden. 後のブロックは適切な家系の名前として表示されます, DofoilまたはCoinminer,” マイクロソフトは述べた.
攻撃はどのように発生しましたか?
最新のDofoilバリアントは、正当なOSプロセス(explorer.exe)を利用して悪意のあるコードを挿入しようとしました. 成功すると, 悪意のあるコードは、暗号通貨マイナーをダウンロードして実行するように設計された2番目のexplorer.exeプロセスをロードします. マイナー自体は、wuauclt.exeとして知られる正当なWindowsバイナリとして隠されていました。.
幸運, Windows Defender wuauclt.exeバイナリが間違ったディスクの場所から実行されていたため、アクティビティのチェーン全体が悪意のあるものとしてすぐに検出されました.
それに加えて, マイナーがコマンドアンドコントロールサーバーに接続しようとしたため、バイナリが悪意のあるトラフィックを生成しました. サーバーは分散型ネームコインネットワーク上にありました.
鉱夫はElectroneum暗号通貨を採掘しようとしていました, マイクロソフトは言った. 幸運, ウィンドウズ 10, ウィンドウズ 8.1, およびWindows 7 WindowsDefenderまたはMicrosoftSecurityEssentialsを実行しているシステムは自動的に保護されました.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: