مایکروسافت یک کمپین بزرگ و گسترده که قصد داشت ده ها هزار دستگاه کامپیوتری را آلوده سازد، خنثی کرده بود. این غول نرم افزاری گزارش داده است که در 6 مارس آنتی ویروس Windows Defender AV بیش از 80 هزار نمونه از چندین تروجان پیشرفته را مسدود کرده است. که نشان دهند تکنیک های پیشرفته فرایند متقابل، مکانیزم های پایداری، روش های گریز هستند.
تروجان ها، که انواع جدیدی از Dofoil (همچنین به عنوان Smoke Loader شناخته می شود) برای حمل بار بر روی کوین ماینتر ( کامپیوترهای استخراجکننده ) استفاده می شوند. در 12 ساعت آینده 400،000 نمونه جدید ثبت شد، 73٪ آنها در روسیه بوده است، 18 درصد آنها مربوط ترکیه و 4درصد اوکراین اکراین بوده است.
کوین ماینینگ در واقع نوعی پروسه وریفای (تایید) اطلاعات است که تحت دو مرحله هش پیچیده SHA256 صورت می پذیرد. که می توانند ارز دیجیتالی کریپتو کارنسی مختلف استخراج کنند.
بدافزار Dofoil از یک نرم افزار سفارشی استخراج کوین که از یک تابع به نام NiceHash پشتیبانی می کند، استفاده می کنند. نمونه های که مایکروسافت تجزیه و تحلیل کرده بود. کوین های استخراج شده Electroneum بود. پنهان شده در سیستم هایی که از یک فرایند به نام روند خالی کردن استفاده می کند.
Mark Simos، مدیر ارشد امنیت سایبری گروه مایکروسافت، توضیح داد: “Process Hollowing یک روش تزریق کد است که شامل ایجاد یک نمونه جدید از فرآیند مشروع و سپس جایگزینی کد قانونی با نرم افزارهای مخرب است.” “فرآیند explorer.exe توخالی سپس یک نمونه دوم مخرب را به وجود می آورد که یک تروجان مخرب سکه را به عنوان یک باینری قانونی مورد استفاده قرار می دهد.”
در حمله Process Hollowing، مهاجمان حافظه یک فرایند قانونی را با یک کد مخرب جایگزین میکنند طوری که کد دوم بهجای کد اصلی اجرا میشود و ابزارهای مانیتورینگ و آنتیویروسها را فریب میدهد بهطوریکه آنها گمان کنند که فرآیند اصلی در حال اجراست.
حمله به لطف استفاده از مکانیزم ماندگاری غیرمعمول، که موجب هشدارهای مبتنی بر رفتار شد، برداشته شد. برای نرم افزارهای مخرب سکه، لازم است که برای مدت طولانی غیر قابل شناسایی شود تا سکه های کافی به اندازه کافی برای حمله به ارزش خود داشته باشند.
در این مورد Dofoil رجیستری را تغییر می دهد.
سیمز گفت: “فرآیند explorer.exe مخفی شده یک کپی از نرم افزارهای مخرب اصلی را در پوشه AppData رومینگ ایجاد می کند و آن را به ditereah.exe تغییر نام می دهد.” سپس یک کلید رجیستری ایجاد می کند یا یکی از کلید های موجود را تغییر می دهد تا به کپی های جدید تروجان اشاره شود. در نمونه ای که ما تجزیه و تحلیل کردیم، نرم افزارهای مخرب کلید Run OneDrive را اصلاح کردند. “
