New Cryptocurrency Mining Malware Infected Over 500,000 PCs in Just Few Hours

เมื่อสองวันที่ผ่านมา Microsoft ตรวจพบการแพร่กระจายตัวที่รวดเร็วของ Cryptocurrency-Mining Malware ซึ่งมีเครื่องที่ตกเป็นเหยื่อเกือบ 500,000 เครื่องในช่วงเวลา 12 ชั่วโมง แต่ทาง Microsoft ก็ได้ทำการหยุดการแพร่ได้สำเร็จก่อนที่จะกระจายตัวไปมากกว่านี้ Malware ดังกล่าวชื่อว่า Dofoil หรือที่รู้จักกันในชื่อ Smoke Loader ทำการติดตั้งตัวโปรแกรมที่ใช้ขุดเหรียญดิจิตอล (Cryptocurrency Miner Program) ลงบนเครื่องของเหยื่อเพื่อขุดเหรียญ Electroneum เมื่อวันที่ 6 มีนาคม 2018 ที่ผ่านมา โปรแกรม Window Defender ของ Microsoft ตรวจพบเหตุการณ์พฤติกรรมของ Dofoil มากกว่า 80,000 ครั้ง ซึ่งเป็นเหตุการณ์สำคัญสำหรับแผนกวิจัยที่ "Microsoft Windows Defender Research Department" และในอีก 12 ชั่วโมงต่อมาก็พบอีกกว่า 400,000 เหตุการณ์ที่บันทึกได้

ทีมนักวิจัยพบว่าเหตการณ์เหล่านี้ที่แพร่กระจายอย่างรวดเร็ว ผ่านประเทศรัสเซีย ตุรกี และยูเครน กำลังขนตัวติดตั้งโปรแกรมขุดเหรียญไปด้วย ซึ่งจะหลอกตัวโปรแกรมตรวจจับว่าเป็นไฟล์ไบนารีของ Windows อย่างไรก็ตามทาง Microsoft ไม่ได้ออกมาชี้แจงถึงสาเหตุว่าทำไมถึงมีการกระจายตัวไปมากขนาดนี้ Dofoil จะใช้แอพพลิเคชันที่ปรับแต่งขึ้นมาเพื่อให้สามารถขุดเหรียญได้หลายชนิด แต่ในครั้งนี้ถูกโปรแกรมมาเพื่อขุดเหรียญ Electroneum เท่านั้น สืบเนื่องจากข้อมูลของนักวิจัย Dofoil จะใช้เทคนิค code injection เก่าเรียกว่า "Process Hollowing" เป็นการสร้างกระบวนการทำงานปลอมขึ้นมาเพื่อหลอกเครื่องมือตรวจจับว่าเครื่องยังทำงานปกติอยู่ ต่อมาไฟล์ explorer.