Перейти к публикации
DiW

Определен вектор атак криптомайнера Dofoil

Рекомендованные сообщения

6.jpg

 

Причиной масштабной атаки криптовалютного майнера Dofoil, на прошлой неделе заразившего свыше 400 тыс. компьютеров в течение всего нескольких часов, стал взлом сервера обновлений BitTorrent-клиента MediaGet. Злоумышленники взломали сервер и подменили обновленную версию MediaGet практически неидентифицируемым бэкдором, поэтому Dofoil инфицировал компьютеры преимущественно в России, Украине и Турции.

 

Продукты безопасности Microsoft идентифицируют созданный российскими разработчиками клиент MediaGet как потенциально нежелательное приложение, однако в случае с майнером он сыграл роль своеобразного моста к жертвам.

 

Программы для обмена файлами могут использоваться для распространения вредоносного ПО, однако в данном случае майнер попадал на компьютеры не через загруженные торрент-файлы, а через процесс mediaget.exe, отмечают специалисты Microsoft.

 

По словам экспертов, атака была тщательно спланирована – злоумышленники подготовили все необходимое еще за две недели до самой атаки. «С целью обеспечить плацдарм для проведения атаки злоумышленники осуществили update poisoning (повреждение целостности обновлений – ред.), в результате чего на компьютеры была установлена версия MediaGet с трояном», – сообщили эксперты.

 

Подписанный файл mediaget.exe с сервера обновлений MediaGet загружал программу update.exe, устанавливавшую новый, неподписанный mediaget.exe. Файл работал, как настоящий, только еще и содержал бэкдор. По мнению специалистов Microsoft, подписавшая mediaget.exe сторонняя компания сама стала жертвой хакеров. Злоумышленники подписали поддельное обновление другим сертификатом с целью пройти проверку подлинности, осуществляемую MediaGet.

 

Поддельное обновление на 98% такое же, как и оригинал. Для обхода обнаружения троян использует метод Process Hollowing.

 

Process Hollowing – метод внедрения кода, заключающийся в создании нового экземпляра легитимного процесса и последующую подмену легитимного кода вредоносным.

 

securitylab.ru

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

×

Важная информация

Используя этот сайт, вы соглашаетесь с нашими Условия использования.