За 12 часов специалисты зафиксировали порядка 500 тыс. попыток заражения компьютеров.
Microsoft сообщила о масштабной вредоносной кампании по распространению майнера криптовалюты. Согласно заявлению компании, операция началась 6 марта нынешнего года. За первые 12 часов специалисты зафиксировали порядка 500 тыс. попыток заражения компьютеров, основная масса атак (73%) пришлась на Россию, значительная активность наблюдалась в Турции (18%) и Украине (4%).
В рамках кампании злоумышленники распространяли ряд троянов семейства Dofoil (также известно как Smoke Loader), загружавших на компьютер жертвы программу для майнинга криптовалюты. Проанализированные экспертами образцы использовались для добычи Electroneum, но, судя по всему, майнер может добывать и другую криптовалюту.
Для заражения компьютера Dofoi использует технику Process Hollowing (с ее помощью атакующие создают процессы в состоянии ожидания и заменяют образ процесса образом, который хотят скрыть). Чтобы скрыть свое пристутствие на системе, троян вносит изменения в реестр. Он генерирует свою копию в папке Roaming AppData, переименовывает ее в ditereah.exe, а затем создает новый ключ реестра или модифицирует уже существующий таким образом, чтобы он указывал на свежесозданную копию вредоносного ПО. Для связи с управляющим сервером вредонос использует инфраструктуру Namecoin.
Namecoin - экспериментальная технология с открытым исходным кодом, позволяющая улучшить децентрализацию, безопасность, защиту от регулирования, конфиденциальность и скорость обработки определенных компонентов инфраструктуры Интернета, таких как DNS и идентификационные данные.
И мы тоже не спим, чтобы держать вас в курсе всех угроз