ไม่กี่วันก่อน ไมโครซอฟท์ได้ตรวจพบมัลแวร์ขุดเหมืองเงินคริปโตที่เติบโตขึ้นอย่างรวดเร็ว จนแพร่กระจายไปยังคอมพิวเตอร์กว่า 500,000 เครื่องโดยใช้เวลาเพียงแค่ 12 ชั่วโมง ก่อนที่จะสามารถสกัดกั้นการติดเชื้อครั้งใหญ่นี้ได้ โดยมัลแวร์ร้ายครั้งนี้ใช้ชื่อว่า Dofoil หรือ Smoke Loader
มัลแวร์ตัวใหม่นี้จะคอยปล่อยไฟล์โปรแกรมขุดเหมืองเงินคริปโตในรูปของข้อมูลส่วนเปย์โหลดบนคอมพิวเตอร์ที่ใช้วินโดวส์ โดยมีการปลอมลักษณะข้อมูลให้เหมือนไฟล์ไบนารีบนวินโดวส์ที่ถูกต้องเพื่อหลบการตรวจจับ
ทั้งนี้เมื่อ 6 มีนาคมที่ผ่านมา ระบบ Windows Defender ได้ตรวจพบกว่า 80,000 Instances ที่เกี่ยวข้องกับ Dofoil จนต้องแจ้งเตือนทางทีมวิจัยของไมโครซอฟท์ให้เข้ามาดูแลอย่างใกล้ชิด ซึ่งภายใน 12 ชั่วโมง ก็พบการบันทึกประวัติมากถึง 400,000 Instances โดยเฉพาะในรัสเซีย, ตุรกี, และยูเครน อย่างไรก็ดี ไมโครซอฟท์ยังไม่ได้เปิดเผยรายละเอียดว่า Dofoil นี้สามารถระบาดครั้งใหญ่ได้อย่างไร
แอพขุดเหมืองที่มัลแวร์ Dofoil แอบปล่อยบนเครื่องเหยื่อนั้น ถูกออกแบบมาให้สามารถขุดเหมืองได้หลายสกุลเงิน แต่ในแคมเปญนี้ได้ถูกตั้งค่าให้ขุดเงิน Electroneum เท่านั้น โดยใช้กลยุทธ์ที่เรียกว่า Process Hollowing ที่สร้างโปรเซสใหม่ซ่อนอยู่ในโปรเซสหลักที่ดูเผินๆ เหมือนโปรเซสที่ทำงานทั่วไปบนวินโดวส์ จนพวกแอนติไวรัสไม่สามารถตรวจพบ ซึ่งครั้งนี้ Dofoil ไปฝังโปรเซสตัวเองอยู่ภายใต้ Explorer.exe
ที่มา : Thehacknews