На прошлой неделе специалисты компании Microsoft рассказали, что в 6 марта 2018 года Windows Defender помог остановить стремительное распространение малвари Dofoil (она же Smoke Loader), заразившей майнером криптовалюты Electroneum более 400 000 устройств всего за 12 часов.

Сообщалось, что 73% попыток заражения пришлись на Россию, 18% на Турцию, а еще 4% на Украину. Интересный нюанс заключался в том, что о способе распространения малвари, который позволил злоумышленникам охватить столь широкую аудиторию за такое небольшое время, в изначальном отчете Microsoft ничего сказано не было.

Теперь исследователи опубликовали отчет, в котором данный инцидент описывается более подробно. Как оказалось, в качестве вектора распространения вредоноса злоумышленники использовали популярное торрент-приложение MediaGet, созданное российскими разработчиками.

Сообщается, что неизвестные планировали атаку как минимум с середины февраля 2018 года и сумели распространить среди пользователей вредоносную версию файла mediaget.exe, воспользовавшись механизмом автоматического обновления популярного торрент-клиента.

Хронология событий

«Подписанная версия mediaget.exe загружала и исполняла программу update.exe, что приводило к установке новой версии mediaget.exe. Новый mediaget.exe обладал такой же функциональностью, как и оригинальная версия, но также имел дополнительную бэкдор-функциональность», — пишут специалисты.

Эксперты полагают, что разработчики MediaGet сами стали жертвой атаки хакеров, как это недавно произошло с разработчиками приложения CCleaner. Напомню, что в ходе того инцидента пострадали более 2,3 млн пользователей. Еще раньше, в 2016 году, похожей атаке подверглись разработчики торрент-клиента Transmission.

Судя по всему, атака MediaGet произошла между 12 и 19 февраля. Пытаясь замаскировать свою малварь, злоумышленники даже воспользовались сертификатом, украденным у неназванной сторонней компании, который был применен для подписи вредоносных файлов. В итоге ворованный сертификат позволил малвари обмануть механизм валидации легитимной версии MediaGet.

Фото: DepostPhotos

1 комментарий

  1. Killswitch1982

    18.03.2018 at 18:20

    Медиагет сам по себе ещё та малварь. Каждый раз как мне приносят компы с проблемами, там всегда есть эта хрень! Как поудаляю, так всё тихо становится. Тоже самое и с CCleaner.

Оставить мнение