Dofoil, el troyano usado para descargar un minero de criptomonedas
- Vulnerabilidades
Bloqueado por Windows Defender Antivirus, el troyano fue utilizado para extraer monedas Electroneum. Más de medio millón de ordenadores fueron infectados en menos de 12 horas, la mayoría en Rusia.
También puedes leer... |
Los investigadores de Microsoft han confirmado que, el pasado 6 de marzo, Windows Defender Antivirus bloqueó más de 80.000 instancias de varios códigos maliciosos que exhibieron técnicas de inyección de procesos cruzados, mecanismos de persistencia y métodos de evasión avanzados. Según Microsoft, se trataba de nuevas variantes de Dofoil, un troyano utilizado para descargar otros códigos maliciosos, en este caso, un minero de criptomonedas. La carga útil del minero se usó para extraer monedas Electroneum. En sólo 12 horas desde el descubrimiento, más de 500.000 ordenadores fueron infectados, la mayoría en Rusia.
El troyano Dofoil usa una antigua técnica de inyección de código llamada 'proceso hueco' en explorer.exe, que implica generar una nueva instancia de proceso legítimo (en este caso c:\windows\ syswow64\explorer.exe) y luego reemplazar el código legítimo con malware.
El malware gana persistencia en un sistema infectado a través del registro de Windows. El proceso hueco explorer.exe crea una copia del malware original en la carpeta Roaming AppData y lo renombra a ditereah.exe. El código malicioso luego crea/modifica una clave de registro para modificar una existente para que apunte a la copia de malware recientemente creada.
Los ciberdelincuentes detrás de la campaña Dofoil usaron un servidor de comando y control alojado en la infraestructura de red descentralizada de Namecoin. "El servidor C&C ordena al malware que se conecte o desconecte a una dirección IP; descargue un archivo de una URL determinada, y ejecute o termine el archivo específico; o duerma por un período de tiempo", afirma Microsoft.