В Microsoft сообщают о массивной кибератаке, которой подверглись пользователи Windows из России. Целью распространения троянов стало использование ресурсов компьютеров для майнинга криптовалюты Electroneum.
Согласно отчету Microsoft, около полудня 6 марта антивирус Windows Defender заблокировал свыше 80 тыс. троянов, которые отличались передовыми кросс-процессными технологиями внедрения, методами персистентности и уклонения. Трояны были распознаны, как новые варианты вируса Dofoil или Smoke Loader. Их задача – выделение мощностей для майнинга криптовалюты Electroneum.
Схема реагирования на угрозу
Dofoil – новейшее семейство вредоносных программ для включения компьютеров в систему майнинга. Поскольку стоимость биткоинов и других криптовалют продолжает расти, создатели вредоносного ПО также активно работают в этом направлении. Например, комплекты эксплойтов теперь включают блоки для майнинга вместо ранее популярного механизма ransomware (разблокировки доступа за вознаграждение).
Семейство Dofoil, которое было обнаружено 6 марта, представляло собой троян, который замещает процесс explorer.exe. Чтобы остаться скрытым, вирус изменяет реестр. Ложный процесс explorer.exe помещает копию вредоносного программного кода в папку Roaming AppData, переименовав его в ditereah.exe. После этого Dofoil создает или меняет ключ реестра (в данном случае OneDrive Run) со ссылкой на внедренную копию вредоносного ПО.
Затем процесс explorer.exe инициирует вторую стадию атаки, запуская механизм майнинга и маскируя его под процесс wuauclt.exe. Этот процесс использует имя существующего файла Windows, но работает из неправильного места.
Географическое распределение инцидентов
Атаку троянов выявили на основании анализа поведения вредоносного ПО с помощью облачных моделей машинного обучения. Всего в течение 12 часов на российский сегмент пришлось около 292 тысяч инцидентов (73%) из 400 тысяч зарегистрированных Windows Defender Antivirus. Кроме того, было атаковано 72 тысячи пользователей из Турции (18%) и 16 тысяч ПК из Украины (4%).
В определенный момент Windows Defender AV распознал необычный механизм атаки, оповестив систему облачной защиты. На протяжении нескольких миллисекунд ряд моделей машинного обучения начал блокировку этих угроз, параллельно подтвердив вредоносную природу ПО.
