300 тыс. компьютеров из Российской Федерации подверглись атаке хакеров — Microsoft

Найти вредные программы удалось благодаря способности антивируса к поведенческому анализу и возможностям машинного обучения. При помощи вредоносного ПО злоумышленники пытались приспособить машины пользователей для майнинга криптовалют. Также могли страдать юзеры из Турции и Украины.

Профессионалы обнаружили цифровые следы 12-часовой атаки 80 тыс. сложных троянов, способных к маскировке. Зараженный процесс активирует другой, который в свою очередь исполняет код для запуска процесса майнинга криптовалюти Electroneum. Жертвами правонарушителей могли стать 300 тыс. человек. Чтобы утаить свое пристутствие на системе, троян вносит изменения в список.

Исследование показало, что чуть ли не до полудня 6 марта Windows Defender Antivirus обнаружал сложные троянские вирусы. Он генерирует свою копию в папке Roaming AppData, переименовывает ее в ditereah.exe, а потом делает новый ключ реестра либо модифицирует уже существующий так, чтобы он указывал на свежесозданную копию вредоносного ПО. В примере, который мы рассмотрели, вирус модифицировал ключ OneDrive Run. После запуска lyk.exe подключается к IP-адресам, которые работают как DNS прокси-сервера для сети Namecoin. Для связи с управляющим сервером вредонос использует инфраструктуру Namecoin. Сервер C&C указывает вирусу подключиться либо отключиться к IP-адресу, скачать, выполнить либо удалить определенный файл либо же оставаться пассивным на протяжении определенного периода времени.

Противодействовал хакерам штатный программный продукт компании Microsoft под названием «Защитник Windows», который сумел вовремя закрепить и показать эту атаку. К их счастью, атаку удалось предотвратить.