Информационная безопасностьНовости

Малварь Dofoil, атаковавшая 400 000 машин за 12 часов, использовала торрент-клиент MediaGet

На прошлой неделе специалисты компании Microsoft рассказали, что в 6 марта 2018 года Windows Defender помог остановить стремительное распространение малвари Dofoil (она же Smoke Loader), заразившей майнером криптовалюты Electroneum более 400 000 устройств всего за 12 часов.

Сообщалось, что 73% попыток заражения пришлись на Россию, 18% на Турцию, а еще 4% на Украину. Интересный нюанс заключался в том, что о способе распространения малвари, который позволил злоумышленникам охватить столь широкую аудиторию за такое небольшое время, в изначальном отчете Microsoft ничего сказано не было.

Теперь исследователи опубликовали отчет, в котором данный инцидент описывается более подробно. Как оказалось, в качестве вектора распространения вредоноса злоумышленники использовали популярное торрент-приложение MediaGet, созданное российскими разработчиками.

Сообщается, что неизвестные планировали атаку как минимум с середины февраля 2018 года и сумели распространить среди пользователей вредоносную версию файла mediaget.exe, воспользовавшись механизмом автоматического обновления популярного торрент-клиента.

Малварь Dofoil, атаковавшая 400 000 машин за 12 часов, использовала торрент-клиент MediaGet
Хронология событий

«Подписанная версия mediaget.exe загружала и исполняла программу update.exe, что приводило к установке новой версии mediaget.exe. Новый mediaget.exe обладал такой же функциональностью, как и оригинальная версия, но также имел дополнительную бэкдор-функциональность», — пишут специалисты.

Эксперты полагают, что разработчики MediaGet сами стали жертвой атаки хакеров, как это недавно произошло с разработчиками приложения CCleaner. Напомню, что в ходе того инцидента пострадали более 2,3 млн пользователей. Еще раньше, в 2016 году, похожей атаке подверглись разработчики торрент-клиента Transmission.

Малварь Dofoil, атаковавшая 400 000 машин за 12 часов, использовала торрент-клиент MediaGet
Малварь Dofoil, атаковавшая 400 000 машин за 12 часов, использовала торрент-клиент MediaGet

Судя по всему, атака MediaGet произошла между 12 и 19 февраля. Пытаясь замаскировать свою малварь, злоумышленники даже воспользовались сертификатом, украденным у неназванной сторонней компании, который был применен для подписи вредоносных файлов. В итоге ворованный сертификат позволил малвари обмануть механизм валидации легитимной версии MediaGet.

Малварь Dofoil, атаковавшая 400 000 машин за 12 часов, использовала торрент-клиент MediaGet

Фото: DepostPhotos