Windows Defender met succes gestopt een grote malware campagne die geprobeerd om meer dan infecteren 400,000 gebruikers. Het laadvermogen van de campagne was een cryptogeld mijnwerker. De poging vond plaats op maart 6, en het voortgezet 12 uur, Microsoft heeft onlangs onthuld.
Details over de onlangs gedetecteerde malware-campagne
Volgens Microsoft, de beoogde machines werden eerst geïnfecteerd met het Dofoil malware ook wel bekend als Smoke Loader. Zoals uitgelegd door de vennootschap, deze familie van Trojans kunnen downloaden en uitvoeren van andere malware op geïnfecteerde hosts, en in dit geval de malware was een mijnwerker.
Blijkbaar, dit is wat er gebeurde:
Net voor de middag op maart 6 (PST), Windows Defender AV geblokkeerd meer dan 80,000 voorbeelden van verschillende geavanceerde Trojaanse paarden die geavanceerde cross-proces spuitgiettechnieken vertoonden, persistentie mechanismen, en ontduiking methoden. Gedrag gebaseerde signalen in combinatie met zelflerende modellen cloud-aangedreven ontdekt nieuwe golf van infectie pogingen.
de Trojanen, die Microsoft ontdekt om nieuwe varianten van Dofoil zijn, waren het verspreiden van een munt (cryptogeld) mijnwerker payload. Binnen de komende 12 uur, meer dan 400,000 gevallen werden geregistreerd, 73% daarvan waren in Rusland, aldus het bedrijf in een blogpost. Turkije goed voor 18% en Oekraïne 4% van de wereldwijde ontmoetingen, de nummers onthuld.
Wat stopte de campagnes op een zodanige tijdig is Microsoft's gedrag gebaseerde machine learning modellen cloud-aangedreven, die aanwezig zijn in Windows Defender. volgens, deze modellen gedetecteerde malware pogingen binnen milliseconden, geclassificeerd ze binnen enkele seconden, en blokkeerde ze binnen enkele minuten.
Mensen die getroffen zijn door deze infectie pogingen in het begin van de campagne zou hebben gezien blokken onder machine learning namen als Fuery, Fuerboos, Cloxer, of Azden. Later blokken te zien zijn als de juiste familienamen, Dofoil of Coinminer,” Microsoft verklaarde.
Hoe heeft de aanval gebeuren?
De nieuwste Dofoil variant geprobeerd om een legitieme OS proces benutten - explorer.exe - om kwaadaardige code te injecteren. Bij succes, de kwaadaardige code zou een tweede explorer.exe proces dat bedoeld is om te downloaden laden en uitvoeren van een cryptogeld mijnwerker. De mijnwerker zelf was verborgen als een legitieme Windows binary bekend als wuauclt.exe.
Gelukkig, Windows Defender snel ontdekt de hele keten van activiteiten als kwaadaardig omdat de wuauclt.exe binaire liep uit de verkeerde schijf locatie.
Naast deze, de binaire voortgebracht schadelijk verkeer omdat de mijnwerker probeerde verbinding te maken met de command and control-server. De server is gelegen op de gedecentraliseerde Namecoin netwerk.
De mijnwerker probeerde de Electroneum cryptogeld mijnwerker, Microsoft zei. Gelukkig, Windows 10, Windows 8.1, en Windows 7 systemen met Windows Defender of Microsoft Security Essentials werden automatisch beschermd.