Windows Defender, il sistema Made in Redmond che garantisce la sicurezza delle piattaforme di Microsoft, sarebbe risuscito a bloccare l’attività di Dofoil, un malware in grado di minare cryptovalute sfruttando le risorse dei terminali attaccati. La minaccia sarebbe stata arrestata all’inizio della sua diffusione, con decine di migliaia di computer già coinvolti.
Windows Defender opera individuando l’inizializzazione di processi anomali all’interno del sistema operativo, una volta rilevati questi ultimi ne invia notifica alla piattaforma Cloud utilizzata da Redmond per l’analisi dei rischi che, grazie all’azione di appositi algoritmi per il machine learning, blocca qualsiasi elemento che possa essere ritenuto pericoloso.
Nel caso di Dofoil le istanze raccolte dal software di protezione sarebbero state circa 80 mila, 400 mila le infezioni, mentre per quanto riguarda le piattforme colpite il crypto-miner si sarebbe rivelato in grado di agire su Windows 10 così come sui più datati Windows 8/8.1 e Windows 7. Gli attacchi sarebbero poi avvenuti seguendo una modalità molto semplice.
La procedura d’infezione prevede infatti la sostituzione di un processo di sistema legittimo con uno fasullo (process hollowing). In questo caso l’eseguibile explorer.exe verrebbe sostituito da un altro file in grado di scaricare da remoto un’applicazione per il mining nascosta sotto il nome di wuauclt.exe, cioè quello di un eseguibile già noto agli utenti.
Gli sviluppatori di Microsoft consigliano di difendersi aggiornando il proprio sistema operativo a Windows 10 (se quest’ultimo non è ancora la piattaforma corrente), di scaricare puntualmente tutti gli aggiornamenti di sicurezza disponibili e di mantenere sempre attivo Windows Defender. Nel corso del 2018 è prevedibile una sempre maggiore diffusione dei malware per il mining.
Per restare sempre aggiornato seguici su Google News!
