O malware denominado Dofoil , ou ainda Smoke Loader, foi encontrado devido a um cryptominer que foi detetado em computadores Windows e que minerava a criptomoeda Electroneum, sem qualquer consentimento por partes das vítimas.
No dia 6 de março, a equipa do Windows Defender detetou mais de 80.000 instancias infetadas com variantes do malware Dotfoil. A equipa do Windows Defender foi alertada devido a vários alertas lançados em menos de 12 horas, e que correspondiam a 400.000 computadores infetados.
A equipa de segurança descobriu que todas as infeções se estavam a espalhar descontroladamente pela Rússia, Turquia e Ucrânia, e que traziam um payload de mineração que se disfarçava como um binário legítimo do Windows para evitar a sua deteção.
O Dofoil está apetrechado com um modulo que permite minerar diferentes criptomoedas, no entanto, nesta campanha, foi programado para minerar a moeda Electroneum.
De acordo com os investigadores, o trojan Doodoil usa uma velha técnica de injeção de código chamada “process hollowing”, que envolve a criação de uma nova instância de um processo legítimo através de um processo malicioso, de forma a ultrapassar os antivirus.
“The hollowed explorer.exe process then spins up a second malicious instance, which drops and runs a coin mining malware masquerading as a legitimate Windows binary, wuauclt.exe.”
Para se manter “persistente” no sistema operativo, o malware altera o registo do Windows.
“The hollowed explorer.exe process creates a copy of the original malware in the Roaming AppData folder and renames it to ditereah.exe,” the researchers say. “It then creates a registry key or modifies an existing one to point to the newly created malware copy. In the sample we analyzed, the malware modified the OneDrive Run key.”
Este malware liga-se a um C&C server alojado na infraestrutura Namecoin, e escruta novos comandos, incluindo “ordens” para a instalação de malware adicional.