12 марта 2018 // Блокчейн
300 тысяч компьютеров в РФ были атакованы вирусом для майнинга криптовалюты

В Microsoft сообщают о массивной кибератаке, которой подверглись пользователи Windows из России. Целью распространения троянов стало использование ресурсов компьютеров для майнинга криптовалюты Electroneum.

Согласно отчету Microsoft, около полудня 6 марта антивирус Windows Defender заблокировал свыше 80 тыс. троянов, которые отличались передовыми кросс-процессными технологиями внедрения, методами персистентности и уклонения. Трояны были распознаны, как новые варианты вируса Dofoil или Smoke Loader. Их задача – выделение мощностей для майнинга криптовалюты Electroneum.

Схема реагирования на угрозу

Dofoil – новейшее семейство вредоносных программ для включения компьютеров в систему майнинга. Поскольку стоимость биткоинов и других криптовалют продолжает расти, создатели вредоносного ПО также активно работают в этом направлении. Например, комплекты эксплойтов теперь включают блоки для майнинга вместо ранее популярного механизма ransomware (разблокировки доступа за вознаграждение).

Семейство Dofoil, которое было обнаружено 6 марта, представляло собой троян, который замещает процесс explorer.exe. Чтобы остаться скрытым, вирус изменяет реестр. Ложный процесс explorer.exe помещает копию вредоносного программного кода в папку Roaming AppData, переименовав его в ditereah.exe. После этого Dofoil создает или меняет ключ реестра (в данном случае OneDrive Run) со ссылкой на внедренную копию вредоносного ПО.

Затем процесс explorer.exe инициирует вторую стадию атаки, запуская механизм майнинга и маскируя его под процесс wuauclt.exe. Этот процесс использует имя существующего файла Windows, но работает из неправильного места.

Географическое распределение инцидентов

Атаку троянов выявили на основании анализа поведения вредоносного ПО с помощью облачных моделей машинного обучения. Всего в течение 12 часов на российский сегмент пришлось около 292 тысяч инцидентов (73%) из 400 тысяч зарегистрированных Windows Defender Antivirus. Кроме того, было атаковано 72 тысячи пользователей из Турции (18%) и 16 тысяч ПК из Украины (4%).

В определенный момент Windows Defender AV распознал необычный механизм атаки, оповестив систему облачной защиты. На протяжении нескольких миллисекунд ряд моделей машинного обучения начал блокировку этих угроз, параллельно подтвердив вредоносную природу ПО.

SPEKTR.BY
Читайте также:
В Минске побит температурный рекорд 1975 года, сегодня возможен повтор
40% респондентов считают высокой эффективность борьбы с коррупцией в Беларуси
Нацбанк Беларуси поставил банкам задачу развивать инвестбанкинг‍
Белорусско-российские переговоры пройдут сегодня в Сочи
Комментарии для сайта Cackle