Un malware mineur de crypto-monnaie a infecté plus de 500 000 ordinateurs

Microsoft a détecté un malware mineur de crypto-monnaie à propagation rapide qui a infecté près de 500 000 ordinateurs en seulement 12 heures.

Surnommé Dofoil, le malware s’est principalement propagé à travers des pays de l’Europe de l’Est. La charge utile, responsable du minage de crypto-monnaie, prétend être un binaire Windows légitime.

D’après des chercheurs, Dofoil utilise une technique d’injection de code appelée "process hollowing" qui consiste à exécuter du code malveillant sous un processus légitime afin de ne pas se faire détecter. Pour assurer sa persistance, Dofoil modifie la base de registre de Windows.

Dofoil se connecte également à un serveur de commande et de contrôle (C&C) distant hébergé sur une infrastructure de réseau décentralisée Namecoin. Cela permet l’envoi de nouvelles commandes et l'installation de logiciels malveillants supplémentaires à distance.