O malware denominado Dofoil , ou ainda Smoke Loader, foi encontrado devido a um cryptominer que foi detetado em computadores Windows e que minerava a criptomoeda Electroneum, sem qualquer consentimento por partes das vítimas.
No dia 6 de março, a equipa do Windows Defender detetou mais de 80.000 instancias infetadas com variantes do malware Dotfoil. A equipa do Windows Defender foi alertada devido a vários alertas lançados em menos de 12 horas, e que correspondiam a 400.000 computadores infetados.
A equipa de segurança descobriu que todas as infeções se estavam a espalhar descontroladamente pela Rússia, Turquia e Ucrânia, e que traziam um payload de mineração que se disfarçava como um binário legítimo do Windows para evitar a sua deteção.
O Dofoil está apetrechado com um modulo que permite minerar diferentes criptomoedas, no entanto, nesta campanha, foi programado para minerar a moeda Electroneum.
De acordo com os investigadores, o trojan Doodoil usa uma velha técnica de injeção de código chamada “process hollowing”, que envolve a criação de uma nova instância de um processo legítimo através de um processo malicioso, de forma a ultrapassar os antivirus.
“The hollowed explorer.exe process then spins up a second malicious instance, which drops and runs a coin mining malware masquerading as a legitimate Windows binary, wuauclt.exe.”
Para se manter “persistente” no sistema operativo, o malware altera o registo do Windows.
“The hollowed explorer.exe process creates a copy of the original malware in the Roaming AppData folder and renames it to ditereah.exe,” the researchers say. “It then creates a registry key or modifies an existing one to point to the newly created malware copy. In the sample we analyzed, the malware modified the OneDrive Run key.”
Este malware liga-se a um C&C server alojado na infraestrutura Namecoin, e escruta novos comandos, incluindo “ordens” para a instalação de malware adicional.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.