شرکت مایکروسافت هفته ی گذشته روند روبه رشدی از بدافزارهای استخراج ارز مجازی را گزارش کرد که در طول ۱۲ ساعت نزدیک به ۵۰۰ هزار کامپیوتر را آلوده و عملیات آن ها را مسدود کرده بودند. این بدافزار با نام های Dofoil ،Smoke Loader شناخته می شود و در بار داده ی آن، ابزارهای استخراج ارز مجازی وجود داشته و سیستم قربانی را آلوده کرده و از توان پردازشی قربانی برای استخراج ارز دیجیتال اتریوم استفاده می کند.

در تاریخ ۶ مارس، سیستم دفاعی ویندوز نزدیک به ۸۰ هزار نمونه از بدافزار Dofoil را شناسایی کرده و هشدار داد و در ادامه در طول ۱۲ ساعت نزدیک به ۴۰۰ هزار نمونه‌ی دیگر توسط این سیستم شناسایی شد. محققان اعلام کردند این بدافزار بیش از همه در کشورهای روسیه، ترکیه و اوکراین در حال توزیع است. همچنین باینری این بدافزار خود را در قالب باینری‌های قانونی جا زده و از تشخیص توسط نرم‌افزارهای امنیتی فرار می‌کند.

هرچند مایکروسافت هنوز اعلام نکرده این بدافزار به چه شیوه‌ای توانسته است در این بازه‌ی زمانی کوتاه‌مدت، سیستم‌های زیادی را آلوده کند. بدافزار Dofoil از یک ابزار ویژه برای استخراج ارز مجازی استفاده می‌کند که قابلیت استخراج ارزهای مختلف را دارا می‌باشد ولی در این پویش، هدف از آلوده کردن ماشین‌های قربانیان، استخراج ارز اتریوم است.

به گفته‌ی محققان امنیتی این بدافزار از یک شیوه‌ی قدیمی تزریق کد استفاده کرده و پردازه‌ی قانونی را با پردازه‌ی مخرب که حاوی بدافزار است جایگزین می‌کند تا نرم‌افزارهای امنیتی آن را تشخیص نداده و فرض کنند که پردازه‌ی قانونی در حال اجرا است. این بدافزار برای حفظ ماندگاری در سیستم قربانی، برای اینکه بعد از راه‌اندازی مجدد، دوباره اجرا شود، رجیستری سیستم قربانی را ویرایش و دست‌کاری می‌کند.

بدافزار Dofoil به سرور دستور و کنترل که بر روی زیرساخت شبکه‌ی توزیع‌شده‌ی Namecoin متصل شده و به دستورات گوش می‌دهد. از جمله‌ی این دستورات می‌توان به نصب بدافزارهای دیگر اشاره کرد. مایکروسافت اعلام کرده نرم‌افزارهای امنیتی مبتنی بر رفتار پردازه‌ها و روش‌های هوش مصنوعی مبتنی بر یادگیری ماشین، به سیستم دفاعی ویندوز در کشف و شناسایی این پویش از بدافزارها بسیار کمک کرده است.
 

منبع