O trojan Dofoil foi usado para minerar criptomoedas em 50.000 computadores em poucas horas

Os especialistas da Microsoft observaram que mais ou menos 500.000 computadores infectados com o Dofoil usados para minerar criptomoedas.

Os especialistas da Microsoft observaram que mais ou menos 500.000 computadores infectados com o Dofoil usados para minerar criptomoedas.

E isto foi levantado a partir do bloqueio via Windows Defender mais de 80.000 códigos maliciosos que apresentaram técnicas de injeção de cross processo, mecanismos de persistência e métodos de evasão .

Segundo a Microsoft o malware não era somente uma versão, mas diversas variantes Dofoil ( também conhecido como Smoke Loader ) que é um pequeno aplicativo usado para baixar outros códigos maliciosos usados para minerar criptomoedas nestes ataques.

Este ataque em específico foi utilizado para minerar Eletroneum.

Em apenas 12 horas após a descoberta os especialistas observaram mais de 400.000 casos, a maioria na Rússia (73%), na Turquia (18%) e na Ucrânia (4%).

No total foram mais de 500.000 computadores foram infectados em apenas 12 horas.

 

O trojan Dofoil usa uma antiga técnica de injeção de código chamada “proccess hollowing” que recentemente foi observada por pesquisadores do CSE CybSec implementados em versão evolutivas por outro malware.

“Os trojans que são novas variantes do Dofoil ( também conhecido como Smoke Loader ) que carrega um payload de criptomoeda. Nas próximas 12 horas mais de 400.000 instâncias foram registradas, sendo 73% na Rússia. A Turquia representou 18% e a Ucrânia 4% dos eventos globais”, de acordo com análise publicada pela Microsoft.

“A campanha do Dofoil que detectamos em 6 de março começou com um trojan que executa o proccess hollowing no explorer.exe. O proccess hollowing é uma técnica de injeção de código que envolve a criação de um novo processo legítimo copiando o original ( neste caso o c:\windows\syswow64\explorer.exe) e em seguida, substitui o processo legítimo pelo malware”.

A análise do Dofoil que usa um aplicativo de mineração personalizado que suporta NiceHash permitindo que os sistemas infectados minerem diferentes criptomoedas e as amostras que a Microsoft analisou mostraram que foram a criptomoeda Eletroneum.

O malware ganha persistência pois ele escreve no registro do Windows. O processo explorer.exe que é infectado cria uma cópia do malware original na pasta AppData e renomeia para ditereah.exe.

Depois de renomear ele só cria uma chave de registro que modifica uma existente apontando para a cópia do malware recém-criado.

Os atacantes por trás do Dofoil usaram um servidor de comando e controle (C&C) hospedado em uma infraestrutura de rede descentralizada Namecoin.

“O servidor C&C comanda o malware para se conectar ou desconectar-se a um endereço ip, baixe um arquivo de uma determinada URL e execute ou termine o arquivo específico ou, então, que ele fique parado por um tempo”, afirma a Microsoft.

A Microsoft confirmou que o Windows Defender foi um componente crucial, neste caso, para detectar e bloquear este tipo de ameaça.

Uma coisa legal pois realmente parece que está começando a ser possível confiar no software da empresa.

 

Via Security Affairs

loading...