Microsoft heeft afgelopen woensdag een grootschalige malware ontdekt die slachtoffers misbruikte om cryptocurrencies te minen. Het gaat om zo'n 400.000 installaties van 'smoke loader', een trojan die vervolgens de Dofoil-malware installeerde. Hierin zat dus een zelfgemaakte miner die gebruikmaakte van NiceHash, dat met verschillende soorten cryptocurrencies overweg kan; in dit specifieke geval ging het overigens om Electroneum.
Naar eigen zeggen kon Microsoft de uitbraak al binnen enkele milliseconden detecteren en grotendeels blokkeren; aanvullende bescherming was binnen enkele seconden geregeld. Dat komt onder andere door op metadata gebaseerde machine learning. De technische details hiervan vind je terug op Microsofts blog.
Gebruikers van Windows 7, Windows 8.1 en Windows 10 zijn beschermd tegen deze malware zolang ze Windows Defender of Microsoft Security Essentials geïnstalleerd hebben. Gebruikers in Nederland zullen er trouwens weinig last van gehad hebben: 73% van de gevallen werd gedetecteerd in Rusland, 18% in Turkije en zo'n 4% in de Oekraïne.
- Within milliseconds, multiple metadata-based machine learning models in the cloud started blocking these threats at first sight.
- Seconds later, our sample-based and detonation-based machine learning models also verified the malicious classification. Within minutes, detonation-based models chimed in and added additional confirmation.
- Within minutes, an anomaly detection alert notified us about a new potential outbreak.
- After analysis, our response team updated the classification name of this new surge of threats to the proper malware families. People affected by these infection attempts early in the campaign would have seen blocks under machine learning names like Fuery, Fuerboos, Cloxer, or Azden. Later blocks show as the proper family names, Dofoil or Coinminer.
Bron: Microsoft
