Злоумышленники встроили вредоносное ПО для добычи криптовалюты в популярную программу MediaGet.
На прошлой неделе, 6 марта, было обнаружено массовое заражение компьютеров универсальным майнером для добычи разных видов криптовалют. Всего за 12 часов было атаковано более 400 тыс. пользователей — в основном из России и Турции. Проведя тщательный анализ, исследователи Microsoft установили, что источником вредоносной активности стал бэкдор в популярном торрент-клиенте MediaGet.
Команда экспертов из Windows Defender считает, что троян Dofoil (также известный как Smoke Loader) попал на компьютеры пользователей в период с 12 по 19 февраля, задолго до начала атаки. Злоумышленники заменили официальный установочный файл MediaGet на вредоносную версию, а затем выждали две недели, пока потенциальные жертвы скачивали или обновляли программу.
Киберпреступники принялись тестировать бэкдор еще 1 марта, заражая с его помощью компьютеры пользователей, а 6 марта приступили к основной атаке, запустив одновременную загрузку дроппера Dofoil и майнера криптовалюты. Стремясь избежать обнаружения, мошенники использовали украденный цифровой сертификат для подделки подписи зараженного обновления MediaGet. Также в установке трояна задействован исполняемый файл update.exe, подписанный сторонней компанией, вероятно также ставшей жертвой киберпреступников.
Каким образом злоумышленникам удалось получить автографы производителей ПО, пока неизвестно. Не выяснили специалисты Windows Defender и то, как именно была взломана система обновления торрент-клиента. Зато им удалось почти сразу заблокировать деятельность зловреда.
Эксперты отметили, что имеют дело с очередным примером популярных в последнее время многоступенчатых атак. Основная их цель — заразить как можно больше пользователей, взломав распространенное аппаратное или программное обеспечение.
Так, владельцы Macbook в начале марта стали жертвами вымогателя KeRanger, встроенного в BitTorrent. Как и Dofoil, KeRanger после установки выжидал, прежде чем начать выполнять основную функцию — шифровать файлы жертвы, и какое-то время оставался незамеченным.
Впрочем, атакам киберпреступников подвергаются не только пользователи торрент-клиентов. В сентябре 2017 года в популярной утилите CCleaner нашли вредоносный исполняемый файл, который собирал информацию о системе и передавал ее на удаленный C&C-сервер. Тогда же из Elmedia Player удалили зловред Proton, следивший за пользователями. Не избежали нападения и владельцы мобильных устройств: совсем недавно в недорогих моделях китайских смартфонов обнаружили предустановленный Android-троян Triada, который занимается кражей финансовой информации.
Но самой значительной вспышкой заражения по-прежнему остается многоступенчатая атака вредоноса NotPetya (он же ExPetr), которая началась с бэкдора в обновлении для украинской программы финансовой отчетности M.E.Doc и привела к многомиллионным убыткам компаний по всему миру.