Global Preloader
Noticia Internacional
(09/Mar/2018) Microsoft detecta un ataque de Dofoil

Microsoft detecta un ataque de Dofoil

Windows Defender de Microsoft bloqueó más de 80,000 instancias de varias variantes nuevas del descargador Dofoil (también conocido como Smoke Loader). Las capacidades de aprendizaje automático sin firma de Defender detectaron un comportamiento anómalo, y en cuestión de minutos habían protegido a los usuarios de Windows 10, 8.1 y 7 del brote.

Durante las siguientes 12 horas, se registraron más de 400,000 instancias de este malware, el 73% de ellas en Rusia, el 18% en Turquía y el 4% en Ucrania.

Este malware realiza el vaciamiento de un proceso, lo que implica generar una nueva instancia del proceso legítimo, en este caso, explorer.exe, y reemplazar el código bueno con malware. El explorer.exe ahuecado luego gira a una segunda instancia que suelta y ejecuta malware de minería de moneda enmascarado como el binario legítimo, wuauclt.exe.

Defender detectó el problema, escribe Microsoft, ya que "aunque utiliza el nombre de un binario legítimo de Windows, se ejecuta desde la ubicación incorrecta. La línea de comandos es anómala en comparación con el binario legítimo. Además, el tráfico de red de este binario es suspicaz." Posteriormente se comunica con un servidor de C&C, vinik.bit, dentro del marco distribuido de Namecoin. Los investigadores de Doctor Web describieron a Namecoin como "un sistema de servidores DNS raíz alternativos basados en tecnología Bitcoin". Namecoin se describe como un sistema de registro y transferencia de pares clave / valor basado en la tecnología Bitcoin. "Bitcoin libera dinero - Namecoin libera DNS, identidades y otras tecnologías ".

Lo que Dofoil descarga es un cryptominer que admite NiceHash; lo que le permite extraer diferentes criptomonedas. "Las muestras que analizamos extraían monedas de Electroneum", escribe Microsoft.

La decisión de utilizar Dofoil para la minería de Electroneum puede estar impulsada conjuntamente por el aparente potencial de crecimiento en la moneda impulsado por una campaña masiva que intenta infectar casi medio millón de PC específicamente para aumentar el valor.

Una de las figuras del informe de Microsoft muestra el "árbol de procesos de alerta" utilizado para determinar la presencia del malware. Notablemente, esto incluye un hash de VirusTotal con el comentario "Tasa de detección de VirusTotal 38/67". Dado que más de la mitad de los motores anti-malware soportados por VirusTotal ya clasifican el archivo como malware, es una suposición razonable de que realmente es un malware.