Több mint 400.000 személyi számítógépet támadtak meg hackerek egy nagyszabású bűncselekmény elkövetése során, ahol bányászati malware próbáltak minél jobban „elterjeszteni” a PC tulajdonosok között, annak érdekében, hogy tudtukon kívül (más) coint bányásztassanak a gépeik segítségével.
A hackerek kifinomult trójai programokat használtak, a fertőzött PC-k leginkább Oroszországban (73%) találhatóak, de jutott Törökországba (18%), Ukrajnába (4%) és más országokba is. Az összehangolt támadás több mint 12 órán át tartott.
“A Windows Defender több, mint 80.000 kifinomult trójai program kísérletet blokkolt, amelyek fejlett, több lépcsős támadási folyamatokon keresztül, az ún. „kereszt folyamatos injekciós technikák” és egyéb kijátszási módszerek segítségével kívánták átvenni a hatalmat a megfertőzött gépek felett” – jelentette a Microsoft AV szoftver fejlesztő kutatócsoport.
(Szerkesztő megjegyzése: a fent említett technika kapcsán várjuk azon olvasóink kommentjét, akik bővebben is tudnak erről a technikáról beszámolni, akár érintettségük, akár egyéb tudásuk okán.)
A Windows Defenderben található, viselkedésalapú és felhőalapú gépi tanulási modellek – hála Istennek – a korai szakaszban észlelték a trójaiak támadását. A fenyegetést a víruskereső program azonosította, amely perceken belül további próbálkozásokat is blokkolt. A Windows Defender csapata szerint a támadásban használt Dofoil nevű rosszindulatú program megpróbált behatolni az operációs rendszer explorer.exe folyamatába és „beadni neki” a rosszindulatú kódot. Ezután egy másik explorer.exe-nek le kellett volna töltenie és futtatnia a bányász programot, amely legitim Windows bináris – wuauclt.exe. – fájlként látszódott volna a felhasználók gépén. A víruskereső szoftver azonban képes volt észlelni ezeket a kísérleteket, mivel a folyamat a merevlemez másik szektoráról indult el.
A rosszindulatú szoftver, mely forgalmat is generált, akkor kerülhetett fel az egyik PC-re, amikor egy bányász megpróbált kapcsolatba lépni a Namecoin hálózati infrastruktúráján található parancs- és vezérlés kiszolgáló szerverrel.
A rosszindulatú programot arra programozták egyébként, hogy az Electroneum-ot bányásszon.
Az Electroneum egy kripto pénz, azaz egy app-alapú, mobilon történő bányászást lehetővé tevő digitális deviza, melyről mi is többször hírt adtunk korábban.
A Microsoft azt állítja, hogy a telepített Windows Defender vagy Microsoft Security Essentials Windows 10, 8.1 és Windows 7 számítógépek automatikusan védettek.
A Bleeping Computer szerint más víruskereső programok is valószínűleg felismerték a fenyegetést. A Dofoil egyébként már évek óta ismert és aktív malware.
A rosszindulatú szkriptek népszerű eszközei a hackereknek, akik így próbálják mások a számítási teljesítményét ellopni, azért, hogy aztán kripto pénzt bányásztassanak mások gépei segítségével.
Az elmúlt években a hackerek számos népszerű platformot próbáltak használni a bányászati malware terjesztésére, például a Facebook Messenger, Youtube, stb.
Számos cybersecurity cég jelentésben figyelmeztetett a személyi számítógépek és akár az okos telefonok ilyen irányú eltérítésére irányuló próbálkozásokra.
Dr. Varsányi Károly
