Microsoft Hits serangan Dofoil

Computer Security News

Beberapa hari lalu, Windows Defender memblokir lebih dari 80.000 contoh dari beberapa varian baru Downloader (alias asap Loader) Dofoil. Setelah mendeteksi perilaku yang tidak normal, Microsoft bek berhasil untuk melindungi pengguna Windows 10, 8.1 dan 7 menit.

Selama 12 jam berikutnya, para ahli terdaftar lebih dari 400.000 contoh malware Dofoil – 73% di Rusia, 18% di Turki dan 4% di Ukraina.

Dofoil downloader melakukan proses pengosongan, yang melibatkan hal ikan bertelur sebuah instance baru dari sebuah proses sah – dalam kasus ini, explorer.exe – dan mengganti kode yang baik dengan malware. Setelah itu, explorer.exe berlubang berputar contoh kedua yang turun dan berjalan koin pertambangan malware menyamarkan sebagai biner sah, wuauclt.exe.

Menurut Microsoft, Windows Defender terdeteksi masalah sejak, “meskipun menggunakan nama Windows sah biner, itu berjalan dari lokasi yang salah. Baris perintah anomali dibandingkan biner sah. Selain itu, lalu lintas jaringan dari biner ini mencurigakan.”

Dofoil berkomunikasi dengan C & C server, vinik.bit, di dalam kerangka didistribusikan Namecoin. Pakar keamanan Namecoin digambarkan sebagai, “sebuah sistem alternatif root server DNS berbasis teknologi Bitcoin.”

Dofoil download per cryptominer yang mendukung NiceHash, membiarkannya tambang berbagai cryptocurrencies.

“Sampel kami menganalisis ditambang koin Electroneum” Microsoft mengatakan.

Menurut peneliti, keputusan untuk menggunakan Dofoil untuk menjatuhkan Electroneum pertambangan malware mungkin didorong oleh potensi pertumbuhan dalam mata uang yang didukung oleh kampanye besar-besaran berusaha menginfeksi hampir setengah juta komputer khusus untuk menaikkan nilai.

“Seperti yang ditunjukkan” Microsoft menulis, “Windows Defender lanjutan perlindungan ancaman (Windows Defender ATP) bendera perilaku berbahaya yang berhubungan dengan instalasi, kode injeksi, mekanisme ketekunan, dan kegiatan pertambangan koin. Operasi keamanan dapat menggunakan perpustakaan deteksi kaya dalam Windows Defender ATP untuk mendeteksi dan menanggapi kegiatan-kegiatan yang anomali dalam jaringan.”

Secara umum, ini benar, namun, tidak semua orang percaya itu berjalan cukup jauh seperti laporan fundamental pemasaran dokumen menyajikan perusahaan yang bersangkutan dalam cahaya terbaik.

Salah satu tokoh dalam laporan Microsoft menggambarkan ‘pohon proses alert’ yang digunakan untuk menentukan keberadaan malware. Ini termasuk hash VirusTotal dengan komentar, “VirusTotal deteksi rasio 38/ 67.”

Mengingat fakta bahwa lebih dari setengah dari mesin anti-malware yang didukung oleh VirusTotal mengklasifikasikan file sebagai malware, ianya pasti bahwa ini adalah malware memang.


Leave a Reply

Your email address will not be published. Required fields are marked *