Контакты
Подписка
МЕНЮ
Контакты
Подписка

Определен вектор атак криптомайнера Dofoil

Определен вектор атак криптомайнера Dofoil

Определен вектор атак криптомайнера Dofoil


15.03.2018



Причиной масштабной атаки криптовалютного майнера Dofoil, на прошлой неделе заразившего свыше 400 тыс. компьютеров в течение всего нескольких часов, стал взлом сервера обновлений BitTorrent-клиента MediaGet. Злоумышленники взломали сервер и подменили обновленную версию MediaGet практически неидентифицируемым бэкдором, поэтому Dofoil инфицировал компьютеры преимущественно в России, Украине и Турции.

Продукты безопасности Microsoft идентифицируют созданный российскими разработчиками клиент MediaGet как потенциально нежелательное приложение, однако в случае с майнером он сыграл роль своеобразного моста к жертвам.

Программы для обмена файлами могут использоваться для распространения вредоносного ПО, однако в данном случае майнер попадал на компьютеры не через загруженные торрент-файлы, а через процесс mediaget.exe, отмечают специалисты Microsoft.

По словам экспертов, атака была тщательно спланирована – злоумышленники подготовили все необходимое еще за две недели до самой атаки. "С целью обеспечить плацдарм для проведения атаки злоумышленники осуществили update poisoning (повреждение целостности обновлений – ред.), в результате чего на компьютеры была установлена версия MediaGet с трояном", – сообщили эксперты.

Подписанный файл mediaget.exe с сервера обновлений MediaGet загружал программу update.exe, устанавливавшую новый, неподписанный mediaget.exe. Файл работал, как настоящий, только еще и содержал бэкдор. По мнению специалистов Microsoft, подписавшая mediaget.exe сторонняя компания сама стала жертвой хакеров. Злоумышленники подписали поддельное обновление другим сертификатом с целью пройти проверку подлинности, осуществляемую MediaGet.

Поддельное обновление на 98% такое же, как и оригинал. Для обхода обнаружения троян использует метод Process Hollowing.

Process Hollowing – метод внедрения кода, заключающийся в создании нового экземпляра легитимного процесса и последующую подмену легитимного кода вредоносным.

 

Securitylab