O Windows Defender interrompeu com sucesso uma grande campanha de malware que tentou infectar mais de 400,000 Comercial. A carga útil da campanha era um minerador de criptomoedas. A tentativa ocorreu em março 6, e continuou 12 horas, A Microsoft revelou recentemente.
Detalhes sobre a campanha de malware detectada recentemente
De acordo com a Microsoft, as máquinas visadas foram inicialmente infectadas com o malware Dofoil também conhecido como Smoke Loader. Como explicado pela empresa, esta família de Trojans pode baixar e executar outros malwares em hosts infectados, e neste caso o malware era um minerador.
Pelo visto, isso é o que aconteceu:
Pouco antes do meio-dia de março 6 (PST), O Windows Defender AV bloqueou mais de 80,000 instâncias de vários trojans sofisticados que exibiam técnicas avançadas de injeção de processo cruzado, mecanismos de persistência, e métodos de evasão. Sinais baseados em comportamento, juntamente com modelos de aprendizado de máquina baseados em nuvem, revelaram essa nova onda de tentativas de infecção.
Os troianos, que a Microsoft descobriu ser novas variantes do Dofoil, estavam distribuindo uma moeda (criptomoeda) carga útil do mineiro. Dentro do próximo 12 horas, mais que 400,000 instâncias foram registradas, 73% dos quais estavam na Rússia, a empresa disse em um post no blog. A Turquia representou 18% e na Ucrânia 4% dos encontros globais, os números revelados.
O que interrompeu as campanhas de maneira oportuna são os modelos de aprendizado de máquina baseados em comportamento da Microsoft baseados em nuvem que estão presentes no Windows Defender. Conforme reivindicado, esses modelos detectaram as tentativas de malware em milissegundos, classificou-os em segundos, e os bloqueou em poucos minutos.
As pessoas afetadas por essas tentativas de infecção no início da campanha teriam visto blocos sob nomes de aprendizado de máquina como Fuery, Fuerboos, Cloxador, ou Azden. Blocos posteriores são exibidos como os nomes de família apropriados, Dofoil ou Coinminer,” A Microsoft declarou.
Como o ataque aconteceu?
A última variante do Dofoil tentou alavancar um processo legítimo do sistema operacional – explorer.exe – para injetar código malicioso. Após o sucesso, o código malicioso carregaria um segundo processo explorer.exe projetado para baixar e executar um minerador de criptomoeda. O próprio minerador foi ocultado como um binário legítimo do Windows conhecido como wuauclt.exe.
Felizmente, Windows Defender detectou rapidamente toda a cadeia de atividades como maliciosa porque o binário wuauclt.exe estava sendo executado a partir do local errado do disco.
Além desta, o binário gerou tráfego malicioso porque o minerador estava tentando se conectar ao seu servidor de comando e controle. O servidor estava localizado na rede Namecoin descentralizada.
O minerador estava tentando minerar a criptomoeda Electroneum, Microsoft disse. Felizmente, janelas 10, janelas 8.1, e Windows 7 sistemas que executam o Windows Defender ou o Microsoft Security Essentials foram protegidos automaticamente.