Secondo un post pubblicato in data 7 marzo sul blog ufficiale di Microsoft, in appena 12 ore Windows Defender Antivirus avrebbe bloccato oltre 400.000 tentativi d'attacco da parte di trojan, che miravano ad infettare gli utenti con miner di criptovalute.
La ricerca pubblicata dagli sviluppatori di Windows Defender mostra come, poco prima di mezzogiorno (PST) in data 6 marzo, l'antivirus ha iniziato a rivelare un trojan molto particolare: una variante dell'applicazione Dofoil (o Smoke Loader), che tentava di immettere malware per il mining di criptovalute attraverso "avanzate teniche di iniezione cross-process, meccanismi di persistenza e metodi di evasione."
La maggior parte, il 73% per essere precisi, di questi attacchi proveniva dalla Russia, il 18% dalla Turchia e il 4% dall'Ucraina.
Nonostante Defoil utilizzi una tecnica d'immissione del codice che camuffa il malware facendo credere al sistema operativo che si tratti di codice binario legittimo, Windows Defender Antivirus è comunque riuscito ad individuarlo grazie alle attività di rete sospette e all'indirizzo errato all'interno del sistema.
Dofoil, definito da Microsoft come "l'ultimissima famiglia di malware ad incorporare nei propri attacchi anche miner di criptovalute", utilizzava il marketplace in cloud NiceHash, poiché supporta una gran varietà di monete digitali. Microsoft ha spiegato che i campioni analizzati minavano unità di Electroneum.
Le attività di cryptojacking si fanno sempre più numerose: a gennaio di quest'anno, oltre il 55% delle imprese in tutto il mondo è stata colpita da attacchi di questo genere.
A metà febbraio, uno script malevolo per il mining di criptovalute è stato inserito all'interno del software che aiuta ciechi e ipovedenti a navigare in rete, infettando oltre 5.000 siti, compresi quelli appartenenti al governo del Regno Unito. Nello stesso mese, un malware per il mining di Monero ha infettato circa 7.000 dispositivi Android, principalmente in Cina e Corea del Sud.