Une énorme campagne de distribution du cheval de Troie Dofoil a été découverte par Microsoft. Cette campagne a permis aux pirates d’infecter près d’un demi-million de PC en moins de 12 heures.
Le cheval de Troie Dofoil est également appelé Smoke Loader, lequel est utilisé pour propager une variété d’autres virus depuis de nombreuses années.
Il s’agit d’une petite application qui, une fois téléchargée sur un PC, peut télécharger d’autres formes de malwares. Le cheval de Troie Dofoil a été utilisé dans de nombreuses campagnes depuis au moins 2011 pour télécharger des malwares, la dernière campagne ayant servi à installer un malware d’extraction de cryptomonnaies.
Le cheval de Troie a été signalé pour la première fois le 6 mars dernier, lorsque Windows Defender a découvert près de 80 000 cas d’infection sur des PC. Ce nombre a augmenté rapidement pour atteindre plus de 400 000 dans les 12 heures suivantes.
Plusieurs souches du cheval de Troie Dofoil étaient utilisées dans le cadre de la campagne qui se concentrait principalement sur d’autres dispositifs situés en Russie, en Ukraine et en Turquie.
Le malware a été déployé pour extraire des pièces en électroneum sur les appareils infectés, bien qu’il puisse extraire d’autres types de cryptomonnaies.
La détection de ce type de malware peut être délicate, car il utilise un processus lui permettant de créer une nouvelle instance d’un processus Windows authentique à des fins malveillantes.
Pour notre cas, il a été masqué sous la forme d’un fichier binaire Windows pour éviter la détection (wuauclt.exe). Explorer.exe a été utilisé pour établir une copie du malware dans le dossier Roaming AppData qui a alors été rebaptisé ditereah.exe.
Le registre de Windows était également modifié pour assurer la persistance de l’infection, en changeant une entrée existante pour la pointer vers la copie du malware. Par la suite, le malware a communiqué avec son serveur C2 et téléchargé des variantes supplémentaires de malwares sur l’appareil infecté.
Microsoft a été en mesure de repérer les infections.
Pourtant, ce qu’on ignore pour l’instant, c’est comment le malware a été téléchargé sur un très grand nombre d’appareils en une très courte période. Bien que le malware ait pu être diffusé via des spams, un autre moyen de distribution est suspecté.
Microsoft a noté que dans de nombreux cas, il aurait été partagé à l’aide de fichiers torrents qui sont utilisés dans le partage de fichiers P2P, souvent pour obtenir des films, de la musique et des logiciels piratés.
Microsoft n’a fait connaître que le nombre d’infections qu’elle a détectées à l’aide de Windows Defender. Et comme la marque n’a pas de visibilité sur les appareils sur lesquels son logiciel antimalware n’est pas installé, le nombre total d’infections risque donc d’être beaucoup plus élevé. Les quelques 400 000 infections ne sont probablement qu’un début.
Microsoft note que ses tentatives pour perturber le fonctionnement du malware ont fait plus qu’empêcher les appareils d’exploiter les cryptomonnaies.
Elles devraient aussi empêcher les pirates d’installer un nombre illimité de charges utiles malveillantes supplémentaires par le biais du cheval de Troie Dofoil, y compris les variantes de malwares et de ransomwares les plus dangereuses.