Стало известно о масштабной вредоносной кампании по распространению майнера криптовалюты. Согласно заявлению компании Microsoft, операция началась 6 марта нынешнего года. Всего за первые 12 часов специалисты зафиксировали порядка 500 тыс. попыток заражения компьютеров, основная масса атак (73%) пришлась на Россию, далее - Турция (18%) и Украина (4%).
В рамках кампании злоумышленники распространяли ряд троянов семейства Dofoil (Smoke Loader), загружавших на компьютер жертвы программу для майнинга криптовалюты. Проанализированные экспертами образцы использовались для добычи Electroneum, но, судя по всему, майнер может добывать и другую криптовалюту.
Для заражения компьютера Dofoi использует технику Process Hollowing, которая позволяет создавать процессы в состоянии ожидания и заменять образ процесса образом, который хакеры пытаются скрыть.
Чтобы скрыть свое присутствие на системе, троян вносит изменения в реестр. Он генерирует свою копию в папке Roaming AppData, переименовывает ее в ditereah.exe, а затем создает новый ключ реестра или модифицирует уже существующий таким образом, чтобы он указывал на свежесозданную копию вредоносного ПО. Для связи с управляющим сервером вредонос использует инфраструктуру Namecoin.
.jpg)
.jpg)