Windows Defender предотвращает «массивные» атаки на монеты

Незадолго до полудня 6 марта (PST), Windows Defender AV заблокировал более 80 000 экземпляров нескольких сложных троянов, на которых были представлены передовые технологии впрыска кросс-процессов, механизмы персистентности и методы уклонения. Сигналы на основе поведения, в сочетании с облачными моделями машинного обучения, обнаружили эту новую волну попыток заражения. Трояны, которые являются новыми вариантами Dofoil (также известного как Smoke Loader), несут полезную нагрузку на монеты. В течение следующих 12 часов было зарегистрировано более 400000 экземпляров, 73% из которых были в России. На Турцию приходилось 18%, а на Украину - 4% от глобальных столкновений.

Windows Defender AV изначально пометила необычный механизм персистентности атаки с помощью мониторинга поведения, который немедленно отправил этот поведенческий сигнал в службу облачной защиты Microsoft.

1. В течение миллисекунд, несколько моделей машинного обучения, на основе метаданных в облаке, начали блокировать эти угрозы с первого взгляда.
2. Через несколько секунд, модели машинного обучения Microsoft, основанные на образцах и детонации, также проверили вредоносную классификацию. В течение нескольких минут, модели, основанные на детонации, подхватили и добавили дополнительное подтверждение.
3. В течение нескольких минут, оповещение об обнаружении аномалий уведомило компанию о новой потенциальной вспышке.
4. После анализа, группа реагирования компании обновила классификационное имя этого нового всплеска угроз для надлежащих семейств вредоносных программ. Люди, пострадавшие от этих попыток заражения в начале кампании, увидели бы блоки под именами машинного обучения, такими как Fuery, Fuerboos, Cloxer или Azden.

Пользователи Windows 10, Windows 8.1 и Windows 7, работающие под управлением Windows Defender AV или Microsoft Security Essentials, защищены от этой последней вспышки.



Узнать больше подробностей можно тут.