Defender zablokoval stovky tisíc výskytů malwaru Dofoil, jenž pašoval těžič kryptoměn

9. 3. 2018

Sdílet

 Autor: Redakce
Zajímá vás, jak se chytá malware?

Ransomware je dnes na počítačích nepřítelem č. 1, mladším a velmi žhavým tématem je však rovněž utajená těžba kryptoměn na pozadí. Microsoft v této souvislosti zveřejnil informace o útoku, jemuž zabránil. Pokud se ve Windows 10 a Windows 8.1 spoléháte jen na integrovaný antivirus Windows Defender (případně používáte Security Essentials ve Windows 7), jistě rádi uslyšíte, že jako ochránce zařízení zafungoval. Před pravým polednem dne 6. března zarazil ve více než 80 000 případech trojské koně, které obsahovaly kód pro těžení kryptoměny. Jednalo se o nové varianty malwaru známého jako Dofoil nebo též Smoke Loader. Podle Microsoftu byly trojské koně velmi sofistikované, neboť využívaly techniku napadení více procesů, ale také mechanismy perzistence a různé metody pro vyhýbání se detekci.

Příběh o odhalení nového útoku

Během dalších 12 hodin Defender odhalil a zastavil dalších 400 000 výskytů, z nichž 73 % bylo nalezeno v Rusku, 18 % v Turecku a 4 % na Ukrajině. Defender nejdříve označil za podezřelé perzistentní mechanismy kódu pomocí sledování chování. Tento signál byl odeslán do cloudu, kde v rámci milisekund na metadatech založené modely strojového učení začaly hrozbu blokovat.

Po pár sekundách potvrdily škodlivé chování modely strojového učení založené na vzorkování a tzv. detonaci – v tomto případě Microsoft pozoruje chování kódu jednoduše tak, že jej reálně spustí v sandboxovém prostředí. Během několika minut pak byla firma upozorněna na potenciální virovou epidemii. Bezpečnostní tým následně provedl analýzu, upravil klasifikační název hrozby. Dále už jen Defender a Security Essentials hrozbu blokovaly a správně uváděly názvy chycených rodin malwarů.

Ilustrační foto

bitcoin školení listopad 24

Detaily o malwaru

Samotný Dofoil používá zvláštní techniku pro injekci škodlivého kódu na proces explorer.exe, kdy nejprve vytvoří novou instanci procesu a následně ukončí proces stejného jména, tedy ten původní. V další fázi napadený proces vytvoří další zdánlivě legitimní proces wuauclt.exe. Ten je ale už zodpovědný za samotnou těžbu.

Podle výzkumu Microsoftu škodlivý kód podporuje NiceHash, je tedy potenciálně schopný těžit různé kryptoměny. Zkoumaný vzorek těžil Electroneum. Pokud vás zajímají techničtější detaily, můžete si přečíst příspěvek na blogu Microsoft Secure.