Microsoft heeft bekendgemaakt dat het eerder deze week ongeveer 400.000 infectiepogingen met een trojan heeft gedetecteerd en geblokkeerd, die een coinminer aan boord had voor de cryptovaluta Electroneum. Ongeveer zeventig procent van de pogingen vond in Rusland plaats.

In zijn analyse zegt Microsoft niets over de oorsprong van de infectiepogingen, waarbij de Dofoil-trojan werd ingezet, die betere bekend is onder de naam Smoke Loader. Volgens eerdere informatie van beveiligingsbedrijf Kaspersky werd deze trojan in 2011 door een Rus ontwikkeld en vervolgens te koop aangeboden op internet. Microsoft schrijft dat de trojan 'geavanceerde injectietechnieken gebruikt, net als methodes om detectie te ontwijken en op een systeem aanwezig te blijven'. In de aanval die het bedrijf op 6 maart detecteerde, had de trojan een Electroneum-coinminer aan boord als payload.

Terwijl het grootste deel van de infectiepogingen in Rusland plaatsvond, vond 18 procent van de pogingen plaats in Turkije en 4 procent in Oekraïne. De trojan probeerde code te injecteren in het proces van explorer.exe via een techniek die bekendstaat als proces hollowing, waarbij de code van een gekopieerd legitiem proces wordt vervangen door kwaadaardige code. Dat kwaadaardige proces haalt vervolgens de coinminer binnen, die zich voordoet als een legitiem Windows-bestand met de naam wuauclt.exe, dat een rol speelt bij het updateproces van Windows.

De coinminer in kwestie zou Nicehash ondersteunen en in het huidige geval Electroneum minen. Door aanpassingen in het register was de malware in staat om op een systeem aanwezig te blijven na een herstart. Volgens Microsoft werd de trojan aangestuurd met behulp van command and control-servers en werd er bij de communicatie gebruikgemaakt van het Namecoin-netwerk.

Het Redmondse bedrijf vermeldt dat bij de detectie van de malware machine learning een belangrijke rol heeft gespeeld. Doordat Defender de methode voor persistence, oftewel het op een systeem aanwezig blijven, als verdacht aanmerkte en ter analyse doorstuurde, kon een machinelearningmodel vervolgens eveneens vaststellen dat er sprake was van kwaadaardige software. In eerste instantie blokkeerde Defender 80.000 infectiepogingen. Dit aantal liep in de 12 daaropvolgende uren op met nog eens 320.000 detecties.

Reacties mogelijk gemaakt door CComment