Причиной масштабной атаки криптовалютного майнера Dofoil, на прошлой неделе заразившего свыше 400 тыс. компьютеров в течение всего нескольких часов, стал взлом сервера обновлений BitTorrent-клиента MediaGet. Злоумышленники взломали сервер и подменили обновленную версию MediaGet практически неидентифицируемым бэкдором, поэтому Dofoil инфицировал компьютеры преимущественно в России, Украине и Турции.
Продукты безопасности Microsoft идентифицируют созданный российскими разработчиками клиент MediaGet как потенциально нежелательное приложение, однако в случае с майнером он сыграл роль своеобразного моста к жертвам.
Программы для обмена файлами могут использоваться для распространения вредоносного ПО, однако в данном случае майнер попадал на компьютеры не через загруженные торрент-файлы, а через процесс mediaget.exe, отмечают специалисты Microsoft.
По словам экспертов, атака была тщательно спланирована – злоумышленники подготовили все необходимое еще за две недели до самой атаки. "С целью обеспечить плацдарм для проведения атаки злоумышленники осуществили update poisoning (повреждение целостности обновлений – ред.), в результате чего на компьютеры была установлена версия MediaGet с трояном", – сообщили эксперты.
Подписанный файл mediaget.exe с сервера обновлений MediaGet загружал программу update.exe, устанавливавшую новый, неподписанный mediaget.exe. Файл работал, как настоящий, только еще и содержал бэкдор. По мнению специалистов Microsoft, подписавшая mediaget.exe сторонняя компания сама стала жертвой хакеров. Злоумышленники подписали поддельное обновление другим сертификатом с целью пройти проверку подлинности, осуществляемую MediaGet.
Поддельное обновление на 98% такое же, как и оригинал. Для обхода обнаружения троян использует метод Process Hollowing.
Process Hollowing – метод внедрения кода, заключающийся в создании нового экземпляра легитимного процесса и последующую подмену легитимного кода вредоносным.