Nghiên cứu của Windows Defender cho thấy ngay trước giờ trưa vào ngày 6 tháng 3, Windows Defender Antivirus đã bắt đầu phát hiện những trojan tinh vi này, những biến thể mới của một ứng dụng gọi là Dofoil (hay Smoke Loader), cố gắng để lây nhiễm phần mềm mã độc đào tiền mật mã thông qua "kỹ thuật lây nhiễm chéo quy trình tiên tiến, cơ chế kiên trì, và phương pháp trốn tránh khéo léo”.
Phần lớn, cỡ khoảng 73% trong số những trường hợp này đến từ Nga, với 18% từ Thổ Nhĩ Kỳ và 4% từ Ukraine.
Mặc dù Dofoil sử dụng một kỹ thuật lây nhiễm mã độc để khai thác phần mềm mã độc đào tiền mật mã dưới dạng nhị phân Windows hợp pháp, nhưng chức năng theo dõi hành vi của Windows Defender Antivirus đã đánh dấu đó là các cuộc tấn công trojan như là mối đe doạ bởi vì lưu lượng truy cập mạng từ tập tin nhị phân này là wuauclt.exe cũng đáng ngờ cũng như hoạt động sai vị trí.
Dofoil, mà Microsoft mô tả là "gia đình phần mềm độc hại mới nhất kết hợp với việc đào tiền mật mã trong các cuộc tấn công", đã sử dụng thị trường đào tiền ảo đám mây NiceHash hỗ trợ nhiều loại tiền mật mã. Microsoft lưu ý rằng các mẫu mà họ kiểm tra đã đào tiền mật mã Electroneum.
Cryptojacking đã trở nên phổ biến hơn trong thời gian gần đây, với hơn 55% doanh nghiệp trên toàn thế giới bị ảnh hưởng bởi các cuộc tấn công khai thác đào tiền mật mã vào tháng 1 năm 2018.
Vào giữa tháng 2, một kịch bản đào tiền mật mã nguy hiểm đã lây nhiễm vào phần mềm trợ giúp người khiếm thị truy cập trực tuyến, ảnh hưởng đến hơn 5000 trang web, kể cả của Chính phủ Anh. Hồi đầu tháng hai, một phần mềm độc hại đào tiền ảo Monero đã được phát hiện xâm nhập vào khoảng 7000 thiết bị Android chủ yếu ở Trung Quốc và Hàn Quốc."
