A Microsoft detetou um malware baseado em criptomoedas. Este expandiu-se rapidamente e infetou mais de 500.000 computadores em menos de 12 horas. 

O malware denominado Dofoil , ou ainda Smoke Loader, foi encontrado devido a um cryptominer que foi detetado em computadores Windows e que minerava a criptomoeda Electroneum, sem qualquer consentimento por partes das vítimas.

 

No dia 6 de março, a equipa do Windows Defender detetou mais de 80.000 instancias infetadas com variantes do malware Dotfoil. A equipa do Windows Defender foi alertada devido a vários alertas lançados em menos de 12 horas, e que correspondiam a 400.000 computadores infetados.

A equipa de segurança descobriu que todas as infeções se estavam a espalhar descontroladamente pela Rússia, Turquia e Ucrânia, e que  traziam um payload de mineração que se disfarçava como um binário legítimo do Windows para evitar a sua deteção.

O Dofoil está apetrechado com um modulo que permite minerar diferentes criptomoedas, no entanto, nesta campanha, foi programado para minerar a moeda Electroneum.

microsoft-malware-attack

 

De acordo com os investigadores, o trojan Doodoil  usa uma velha técnica de injeção de código chamada “process hollowing”, que envolve a criação de uma nova instância de um processo legítimo através de um processo malicioso, de forma a ultrapassar os antivirus.

“The hollowed explorer.exe process then spins up a second malicious instance, which drops and runs a coin mining malware masquerading as a legitimate Windows binary, wuauclt.exe.”

Para se manter “persistente” no sistema operativo, o malware altera o registo do Windows.

“The hollowed explorer.exe process creates a copy of the original malware in the Roaming AppData folder and renames it to ditereah.exe,” the researchers say. “It then creates a registry key or modifies an existing one to point to the newly created malware copy. In the sample we analyzed, the malware modified the OneDrive Run key.”

Este malware liga-se a um C&C server alojado na infraestrutura Namecoin, e escruta novos comandos, incluindo “ordens” para a instalação de malware adicional.

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *