Un nouveau malware découvert pour exploiter les crypto-monnaies

Il y a deux jours, Microsoft a découvert un malware crypté à propagation rapide, qui a infecté près de 500 000 ordinateurs en seulement 12 heures et l'a largement bloqué.

Microsoft a détecté ce malware infectant près de 500 000 ordinateurs

Surnommé Dofoil, alias Smoke Loader, est celui qui a trouvé et découvert des logiciels malveillants dans une application d'extraction de crypto-monnaie. Le malware a infecté près de 500 000 ordinateurs Windows et l'application a essentiellement retiré des pièces d'Electroneum.

Le 6 mars, Windows Defender a soudainement détecté plus de 80000 instances de diverses variantes de Dofoil qui ont déclenché l'alarme dans le service Defender de Microsoft de Windows Defender, et au cours des 12 prochaines heures, plus de 400000 incidents ont été signalés.

L'équipe d'enquête a constaté que tous ces cas se propageaient rapidement en Russie, en Turquie et en Ukraine. Le malware présent dans une application d'exploration de données a été déguisé en un binaire Windows légitime pour échapper à la détection.

Microsoft n'a pas expliqué comment ces incidents se sont produits si massivement et en si peu de temps. Dofoil utilise une application d'exploration de données personnalisée qui peut extraire différentes pièces, mais cette fois, le malware a été programmé pour extraire les pièces Electroneum uniquement à partir des ordinateurs concernés.

Selon les chercheurs, le cheval de Troie Dofoil utilise une ancienne technique d'injection de code appelée «Process Hollowing» qui consiste à générer une nouvelle instance d'un processus légitime avec un processus malveillant afin que le second code soit exécuté à la place des outils de surveillance d'origine. processus et antivirus. Une méthode qui semble peu efficace ce que l'on dit cette fois.

TheHackerNews Font