Windows sigurnost: Microsoft se bori protiv masovne epidemije zlonamjernog softvera rudara kriptokovanica

  • Sep 02, 2023

Microsoft je blokirao izbijanje zlonamjernog softvera koji je jednoj kriminalnoj skupini mogao zaraditi velike novce.

Saznajte više

  • Ransomware je sada vaša najveća mrežna sigurnosna noćna mora. I bit će sve gore
  • Cloud provider je zaustavio napad ransomwarea, ali je svejedno morao platiti zahtjev za otkupninu
  • Ransomware banda traži 42 milijuna dolara, prijeti da će objaviti prljavštinu o Trumpu
  • Američka tajna služba izvješćuje o porastu hakiranih MSP-ova
  • Ovaj novi ransomware cilja Windows i Linux računala 'jedinstvenim' napadom
  • ThiefQuest je otkrio ciljanje korisnika macOS-a
  • Gang kaže da je prekršio jednog od NASA-inih izvođača
  • Unutar napada: Frnm prvo kršenje zahtjeva za otkupninu
  • Hakerima je trebalo samo tri dana da napune ovu lažnu industrijsku mrežu zlonamjernim softverom

Microsoft je blokirao brzo širenje zlonamjernog softvera koji je mogao zaraziti gotovo 500.000 Windows računala u roku od nekoliko sati 6. ožujka.

Trojanac, poznat kao Dofoil ili Punjač dima, dizajniran je da isporuči niz nosivosti. Međutim, u ovom slučaju, ispustio je rudar kriptovalute na zaražena računala, kako bi oni koji stoje iza trojanskog Electroneuma zaradili novčiće od CPU-a žrtava.

Microsoftov antivirusni program Windows Defender isprva je otkrio 80.000 instanci nekoliko trojanaca s ovim sadržajem u podne PST 6. ožujka. Tijekom sljedećih 12 sati, Windows Defender otkrio je više od 400.000 susreta s trojancem, uglavnom u Rusiji, ali iu Turskoj i Ukrajini.

Microsoft je rekao da trojanac Dofoil izvodi otmjeni trik koji se zove 'produbljivanje procesa' na legitimnoj binarnoj datoteki explorer.exe. Ova tehnika stvara novu instancu legitimne binarne datoteke, ali zamjenjuje njen kod zlonamjernim softverom.

"Produbljeni explorer.exe proces zatim pokreće drugu zlonamjernu instancu, koja ispušta i pokreće rudarenje novčića zlonamjerni softver koji se maskira u legitimnu Windows binarnu datoteku, wuauclt.exe," rekao je Mark Simos, arhitekt kibernetičke sigurnosti u Microsoft.

Kaspersky istraživači promatranom sofisticirani napadači koji koriste tehniku ​​izdubljivanja procesa za isporuku rudara koji su im zaradili milijune dolara u drugoj polovici 2017.

Produbljivanje procesa je korisno jer ga antivirus često pogrešno smatra bezopasnim softverom. Kaspersky je rekao da se žrtve obično zaraze nakon preuzimanja softvera koji izgleda legalno.

Kako bi zadržao poziciju na zaraženom računalu, Dofoil podešava Windows registar nakon explorer.exe koji uništava proces.

Besplatno preuzimanje:Politika revizije i zapisivanja

„Izdubljeno explorer.exe proces stvara kopiju izvornog zlonamjernog softvera u mapi Roaming AppData i preimenuje je u ditereah.exe. Zatim stvara ključ registra ili modificira postojeći kako bi ukazivao na novostvorenu kopiju zlonamjernog softvera. U uzorku koji smo analizirali, zlonamjerni softver je modificirao OneDrive Run ključ," napisao je Simos.

Rudarenje kriptovaluta moglo bi biti još unosnije za napadače od glavne prijetnje 2017., ransomwarea za šifriranje datoteka. Ključna prednost rudara novčića je da postoji manji rizik da se infekcija napadača ne isplati, prema Renatu Marinhu, glavnom istraživaču u Morphus Labsu.

Marinho je u siječnju otkrio iskorištavanje napadača ranjivi Oracle WebLogic poslužitelji i, iako su mogli instalirati ransomware ili kradljivca podataka, odlučili su se isključivo koristiti kompromitirane poslužitelje za rudarenje Monera, zaradivši preko 200.000 dolara u nekoliko mjeseci.

"Po mom mišljenju, vjerojatno se prebacuju s ransomwarea na rudarenje jer s ransomwareom nemaju jamči da će dobiti otkupninu, dok rudari ne privlače veliku pozornost", rekao je Marinho za ZDNet.

WebLogic napad bio je relativno malog opsega u usporedbi s drugom kampanjom koju je Marinho otkrio u siječnju, a koja koristio je mrežu kompromitiranih strojeva za generiranje 4273 Monera, u to vrijeme vrijednih oko 1,7 milijuna dolara, a danas vrijede 1,3 milijuna dolara.

Unatoč tome što Dofoil koristi legitimne Windows binarne datoteke, Microsoftov Simos je rekao da su njegovi modeli strojnog učenja u oblaku za analizu metapodataka otkrili prve infekcije "unutar milisekundi".

"Iako koristi ime legitimne Windows binarne datoteke, pokreće se s krive lokacije. Naredbeni redak je anomalan u usporedbi s legitimnim binarnim. Osim toga, mrežni promet iz ove binarne datoteke je sumnjiv", rekao je.

Prethodno i povezano izvješće

Sigurnost sustava Windows: Microsoft izdaje zakrpu za Adobe kako bi se uhvatio u koštac s Flashom zero-day

Microsoft štiti Windows korisnike od propusta Flash Playera koji iskorištavaju osumnjičeni sjevernokorejski hakeri.

Zakrpe za Windows: Microsoft ubija Wordov uređivač jednadžbi koji je slabo napadan, ispravlja 56 grešaka

Microsoft uklanja Equation Editor iz Worda nakon što je otkrio nove napade na korisnike sustava Office.

Windows 10 bug: Microsoft ispravlja problem koji je kvario USB, ugrađene kamere, tipkovnice

Microsoft se pozabavio greškom USB-a i ugrađenog uređaja koju je predstavio u svom sigurnosnom ažuriranju za veljaču.

Nedostatak nultog znaka u sustavu Windows 10 skriva zlonamjerni softver od alata za sigurnosno skeniranje(TechRepublic)

Sučelje sustava Windows 10 koje aplikacijama omogućuje povezivanje s antivirusnim softverom skraćuje datoteke, uzrokujući da se ugroženi kod vraća čistim.

Kako stvoriti punu sigurnosnu kopiju sustava u sustavu Windows 10 (CNET)

To je staro, ali dobro: Stvaranje slike sustava vašeg računala sa sustavom Windows 10 u slučaju da vam tvrdi disk nestane i morate oporaviti svoje datoteke, postavke i aplikacije.