vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

300 тысяч компьютеров в РФ были атакованы вирусом для майнинга криптовалюты

Дата публикации: 12.03.2018
Количество просмотров: 999
Автор:

В Microsoft сообщают о массивной кибератаке, которой подверглись пользователи Windows из России. Целью распространения троянов стало использование ресурсов компьютеров для майнинга криптовалюты Electroneum.

Согласно отчету Microsoft, около полудня 6 марта антивирус Windows Defender заблокировал свыше 80 тыс. троянов, которые отличались передовыми кросс-процессными технологиями внедрения, методами персистентности и уклонения. Трояны были распознаны, как новые варианты вируса Dofoil или Smoke Loader. Их задача – выделение мощностей для майнинга криптовалюты Electroneum. 

Схема реагирования на угрозу
Схема реагирования на угрозу

Dofoil – новейшее семейство вредоносных программ для включения компьютеров в систему майнинга. Поскольку стоимость биткоинов и других криптовалют продолжает расти, создатели вредоносного ПО также активно работают в этом направлении. Например, комплекты эксплойтов теперь включают блоки для майнинга вместо ранее популярного механизма ransomware (разблокировки доступа за вознаграждение).

Семейство Dofoil, которое было обнаружено 6 марта, представляло собой троян, который замещает процесс explorer.exe. Чтобы остаться скрытым, вирус изменяет реестр. Ложный процесс explorer.exe помещает копию вредоносного программного кода в папку Roaming AppData, переименовав его в ditereah.exe. После этого Dofoil создает или меняет ключ реестра (в данном случае OneDrive Run) со ссылкой на внедренную копию вредоносного ПО.

Затем процесс explorer.exe инициирует вторую стадию атаки, запуская механизм майнинга и маскируя его под процесс wuauclt.exe. Этот процесс использует имя существующего файла Windows, но работает из неправильного места. 

Географическое распределение инцидентов
Географическое распределение инцидентов

Атаку троянов выявили на основании анализа поведения вредоносного ПО с помощью облачных моделей машинного обучения. Всего в течение 12 часов на российский сегмент пришлось около 292 тысяч инцидентов (73%) из 400 тысяч зарегистрированных Windows Defender Antivirus. Кроме того, было атаковано 72 тысячи пользователей из Турции (18%) и 16 тысяч ПК из Украины (4%).

В определенный момент Windows Defender AV распознал необычный механизм атаки, оповестив систему облачной защиты. На протяжении нескольких миллисекунд ряд моделей машинного обучения начал блокировку этих угроз, параллельно подтвердив вредоносную природу ПО. 

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/100908/300-tyisyach-kompyuterov-v-rf-byili-atakovanyi-virusom-dlya-mayninga-kriptovalyutyi.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться