A Microsoft revelou nesta semana que bloqueou em poucas horas uma campanha que pretendia infectar mais de 500 mil PCs com um malware minerador de criptomoedas.
Microsoft bloqueia campanha que pretendia infectar mais de 500 mil PCs com malware minerador de criptomoedas
O malware, conhecido como Dofoil ou Smoke Loader, é um trojan criado para fazer o download do minerador de criptomoedas Ethereum nos PCs infectados.
O antivírus Windows Defender detectou inicialmente 80.000 instâncias de trojans com este minerador no dia 6 de março. Nas 12 horas seguintes, o Windows Defender detectou mais de 400.000 instâncias na Rússia, Turquia e Ucrânia.
A Microsoft disse que o Dofoil utiliza uma técnica conhecida como ‘process hollowing’ no arquivo explore.exe do Windows. Esta técnica cria uma segunda instância do arquivo legítimo, mas substituindo seu código pelo malware.
Esta nova instância do explorer.exe com o código do malware cria outra instância de outro arquivo do Windows, o wuauclt.exe, contendo o malware minerador de criptomoedas.
Para se manter em um PC infectado, o Dofoil altera o Registro do Windows depois de executar a técnica ‘process hollowing’ no arquivo explore.exe do sistema operacional: Ele cria uma cópia do malware original no na pasta Roaming localizada no diretório AppData e o renomeia para ditereah.exe. Em seguida ele cria uma chave no Registro ou modifica uma já existente para apontar para a cópia do malware recém-criada.
De acordo com a Microsoft, usuários do Windows 10, Windows 8.1 e Windows 7 utilizando o antivírus da empresa foram protegidos automaticamente contra esta ameaça por causa da tecnologia de detecção baseada em comportamento e da tecnologia de proteção baseada na nuvem, que utiliza machine learning.
O post Microsoft bloqueia campanha que pretendia infectar mais de 500 mil PCs com malware minerador de criptomoedas apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br