只用12小时,挖矿恶意软件就感染了约50万台电脑

 

几天前,微软阻击并成功拦截了一款传播迅速的密币挖掘恶意软件,后者仅在12小时内就感染了近50万台电脑。

这款恶意软件被称为 “Dofoil” 即 “Smoke Loader”,它在受感染的且挖掘以利坊 (Electroneum) 密币的 Windows 电脑中释放了一个密币挖矿程序作为 payload,从而利用受害者的 CPU进行挖矿。

 

Dofoil 快速传播

3月6日,Windows Defender 突然检测到 Dofoil 多个变体的8万多个实例,随后在12小时内实例数量达到40多万个。

微软 Windows Defender 团队发现这些实例快速传播到俄罗斯、土耳其和乌克兰,它们携带者一个伪装成合法 Windows 二进制的数字货币挖掘payload。

然而,微软并未提及这些实例如何在如此短的时间内设法传播到如此大规模的范围。

 

利用“process hollowing”注入技术挖掘以利坊

Dofoil 使用一款自定义挖矿应用来挖掘不同的密币,但在这次传播活动中,它仅挖掘以利坊。

研究人员指出,Dofoil 木马使用的是古老的代码注入技术即“冷注入 (process hollowing)”,利用恶意代码生成一个合法进程的新实例以便运行恶意代码,欺骗进程工具以及反病毒工具误以为运行的是原始进程。研究人员指出,“被挖空的 (hollowed) explorer.exe 进程随后拉起恶意实例,后者释放并伪装成合法 Windows 二进制 wuauclt.exe 运行密币挖矿恶意软件。”

为了长时间地停留在受感染系统上并使用被盗计算机资源挖掘以利坊,Dofoil 木马更改 Windows 注册表。

研究人员指出,“被挖空的 explorer.exe 进程在 Roaming AppData 文件夹中创建了原始恶意软件的副本并将其更名为 ditereah.exe。随后它创建一个注册表键或更改现有注册表键指向新建的恶意软件副本。在我们所分析的样本中,恶意软件修改了 OneDrive Run 注册表键。”

Dofoil 还连接到托管在去中心化的 Namecoin 网络基础设施上的一台远程 C&C 服务器并监听新命令,包括安装其它的恶意软件。

微软表示 Windows Defender Antivirus 团队使用的行为监控和基于人工智能的机器学习技术在检测并拦截这起大规模恶意软件攻击活动中发挥了重要作用。

(完)