Windows Defender blocca il miner Dofoil

Il 2017 è stato l’anno dei ransomware. Il 2018 sarà invece l’anno del cryptojacking, un tipo di attacco che sfrutta le risorse del computer per generare monete digitali. Recentemente Microsoft ha rilevato una nuova variante del malware Dofoil che nasconde un miner nel codice. Fortunatamente Windows Defender ha limitato i danni per gli utenti.

Pochi giorni fa l’antivirus ha bloccato oltre 80.000 istanze del trojan, la maggioranza delle quali in Russia. Windows Defender ha identificato un comportamento anomalo e quindi inviato un segnale al servizio di protezione cloud implementato da Microsoft. Entro pochi minuti, i modelli di machine learning hanno classificato il pericolo e bloccato la diffusione del malware sui computer degli utenti con Windows 10, Windows 8.1 e Windows 7. La tecnica usata da Dofoil è denominata process hollowing. In breve, il malware crea una copia di un processo legittimo (in questo caso explorer.exe) e sostituisce l’originale con codice infetto.

Il falso processo scarica il miner da un server remoto, mascherandolo come wuauclt.exe. Dofoil è in grado di generare diverse criptovalute e utilizza vari metodi di offuscamento. Il malware si nasconde nelle cartelle di Windows, cambiando nome, e modifica alcune chiavi del registro, ad esempio quella riferita a OneDrive. Windows Defender ha comunque rilevato i file sospetti e l’insolito traffico di rete.

Considerato il valore crescente delle monete digitali, questo genere di attacchi è destinato ad aumentare nei prossimi mesi. Microsoft consiglia di usare Windows 10 e attivare la protezione in tempo reale di Windows Defender.