Dofoil malver zarazio preko pola miliona računara

Novi malver za rudarenje kripto valuta inficirao preko 500.000 računara za nekoliko sati.

Dofoil malver zarazio preko pola miliona računara

Microsoft je pre 2 dana otkrio malver za rudarenje kripto valuta koji se širio velikom brzinom i koji je zarazio pola miliona računara za 12 sati. Malver je nazvan Dofoil ili Smoke Loader. Dofoil ostavlja softver za rudarenje Electroneum kripto valute u formi payloada na zaraženom Windows računaru.

Pročitajte više o malveru za rudarenje kripto valuta: Šta je Coinminer i kako se zaštititi?

Windows Defender je najpre zabeležio više od 80.000 slučajeva nekoliko različitih Dofoil varijanti što je podiglo uzbunu, a nedugo zatim zabeleženo je još 400.000 slučajeva. Malver je targetirao Rusiju, Tursku i Ukrajinu, a bio je maskiran kao legitimni Windows proces kako bi izbegao detekciju. Još uvek nije poznato kako je došlo do tako masovne infekcije za tako kratko vreme.

Dofoil koristi kastomizovanu aplikaciju koja može da rudari različite kripto valute, ali u ovoj kampanji je bio programiran da rudari samo Electroneum.

Istraživači navode da Dofoil koristi staru tehniku ubacivanja koda pod nazivom "process hollowing". Kod ove tehnike, legitimni proces služi kao kontejner za maliciozni kod. Napadači lansiraju legitimni proces čiju memoriju zamenjuju drugim, malicioznim kodom s ciljem da se upravo taj kod pokrene umesto originalnog. Tako uspevaju da prevare monitoring alate i AV koji misle da je pokrenut legitimni proces.

Kompromitovani explorer.exe proces donosi drugu pretnju, odnosno ostavlja i pokreće malver za rudarenje kripto valuta koji je maskiran kao legitimni Windows proces wuauclt.exe. Dofoil modifikuje Windows registry kako bi obezbedio dugoročno prisustvo u zaraženom sistemu, odnosno rudarenje Electroneuma u jednom dužem vremenskom periodu. Kompromitovani explorer.exe proces pravi kopiju originalog malvera u Roaming AppData folderu i preimenuje ga u ditereah.exe. Zatim pravi registry key ili modifikuje postojeći koji je povezan sa upravo napravljenom kopijom malvera. U jednom od analiziranih uzoraka, otkriveno je da je malver modifikovao OneDrive Run key.

Malver se takođe povezuje sa udaljenim C&C serverom koji se nalazi na decentralizovanoj Namecoin mrežnoj infrastrukturi i čeka nove komande, uključujući i instaliranje dodatnih malvera.

Izvor: The Hacker News