Microsoft говорит, что вспышка в первый раз распространилась в РФ, Турции и Украине 6 марта, а Windows Defender заблокировал не менее 400 тыс. экземпляров трояна в течении 12 часов. Целью атаки стал захват мощностей процессоров для майнинга криптовалют. Трояны, которые являются новыми вариантами Dofoil (также известного как Smoke Loader), используют ваши ПК для добычи криптовалюты. Хакерами была подготовлена программа, при вторжении которой в компьютерную систему, она начинает майнить цифровую валюту незаметно для пользователя. Так как стоимость биткоинов и иных криптовалют продолжает расти, создатели вредоносного ПО также активно работают в данном направлении. Кампания по распространению данного ПО, обнаруженного Защитником Windows, использовала схему внедрения вредоносного кода в обычный системный процесс explorer.exe.
Чтобы оставаться незамеченным, Dofoil меняет список системы. Потом создается ключ в реестре либо модифицируется существующий для направления созданной копии вируса. Этот процесс использует имя существующего файла Windows, однако работает из неправильного места. Найти вредные программы удалось благодаря способности антивируса к поведенческому анализу и возможностям машинного обучения. На протяжении следующих 12 часов было зарегистрировано не менее 400000 экземпляров, 73% из которых были в РФ. Софтверный гигант заявляет, что 73% выявленных троянов приходились на РФ, 18% на Турцию и 4% в Украинское государство. «В течение миллисекунд несколько моделей машинного обучения на основе метаданных в облаке начали перекрыть эти угрозы с первого взгляда», — подчеркнули в компании, добавив, что компания узнала о вероятной вспышке «в течение нескольких минут».
Microsoft отметила, что юзеры Windows 7, Windows 8.1 и Windows 10 с включенным Защитником Windows/Microsoft Security Essentials защищены от данной атаки.
