El nuevo Malware de Cryptocurrency Mining infectó a más de 500,000 PC en solo unas pocas horas


 
Hace dos días, Microsoft se encontró con un malware de propagación de criptomonedas de rápida propagación que infectó a casi 500,000 computadoras en solo 12 horas y lo bloqueó exitosamente en gran medida.

Apodado Dofoil, también conocido como Smoke Loader, se descubrió que el malware dejaba caer un programa de minería de criptomonedas como carga útil en computadoras con Windows infectadas que extraían monedas de Electroneum, otra criptomoneda más, para atacantes que usaban las CPU de las víctimas.

El 6 de marzo, Windows Defender detectó repentinamente más de 80,000 instancias de varias variantes de Dofoil que dieron la voz de alarma en el departamento de investigación de Microsoft Windows Defender, y en las siguientes 12 horas, se registraron más de 400,000 instancias.

El equipo de investigación descubrió que todas estas instancias, que se extendían rápidamente por Rusia, Turquía y Ucrania, llevaban una carga útil de extracción de moneda digital, que se hacía pasar por un binario legítimo de Windows para evadir la detección.

Sin embargo, Microsoft no ha mencionado cómo estas instancias fueron entregadas a una audiencia tan masiva en el primer lugar en este corto período.

Dofoil usa una aplicación de minería personalizada que puede extraer diferentes criptomonedas, pero en esta campaña, el malware fue programado para extraer solo monedas de Electroneum.
Malware

Según los investigadores, el troyano Dofoil usa una vieja técnica de inyección de código llamada 'proceso hueco' que implica generar una nueva instancia de un proceso legítimo con uno malicioso para que el segundo código se ejecute en lugar del original, herramientas de monitoreo de procesos y antivirus en creer que el proceso original se está ejecutando.

    "El proceso ahuecado explorer.exe luego hace girar una segunda instancia maliciosa, que suelta y ejecuta un malware de extracción de monedas enmascarado como un binario legítimo de Windows, wuauclt.exe".


Para mantener la persistencia en un sistema infectado durante mucho tiempo para extraer monedas de Electroneum utilizando recursos informáticos robados, el troyano Dofoil modifica el registro de Windows.

    "El proceso ahuecado explorer.exe crea una copia del malware original en la carpeta Roaming AppData y lo renombra a ditereah.exe", dicen los investigadores. "Luego crea una clave de registro o modifica una existente para apuntar a la copia de malware recientemente creada. En la muestra que analizamos, el malware modificó la clave OneDrive Run".


Dofoil también se conecta a un servidor de comando y control remoto (C & C) alojado en la infraestructura de red de Namecoin descentralizada y escucha los nuevos comandos, incluida la instalación de malware adicional.

Microsoft dice que el monitoreo del comportamiento y las técnicas de aprendizaje automático basadas en la inteligencia artificial utilizadas por Windows Defender Antivirus han jugado un papel importante para detectar y bloquear esta campaña masiva de malware.

Publicar un comentario

0 Comentarios