微软披露 Dofoil 感染40万用户的更多详情

阅读量122993

发布时间 : 2018-03-16 11:00:23

x
译文声明

本文是翻译文章,文章原作者 Catalin Cimpanu,文章来源:www.bleepingcomputer.com

原文地址:https://www.bleepingcomputer.com/news/security/400k-malware-outbreak-caused-by-backdoored-russian-torrenting-client/

译文仅供参考,具体内容表达以及含义原文为准。

 

 

12小时内就感染40多万台计算机的大规模恶意软件活动由俄罗斯 BitTorrent 客户端 MediaGet 后门引发。

上周,微软 Windows Defender 团队曾发现并阻止了一起在短短12小时内就通过 Dofoil (Smoke Loader) 感染40多万台俄罗斯和土耳其等国计算机的大规模恶意软件活动。微软发布了一份详细报告,说明了该恶意软件如何操作,并揭示了Dofoil 随后将尝试下载并安装门罗币挖矿机。

当时,微软由于并非百分百肯定,因此并未披露 Dofoil 是如何黑进用户计算机的。目前该公司公布了更多详情,而 Windows Defender 团队指出,Dofoil 恶意软件是通过由 MediaGet BitTorrent 客户端二进制 mediaget.exe 创建的文件名为 “my.dat” 的文件黑进用户计算机的。

 

MediaGet 早在2月中旬就已被黑

Windows Defender 团队在新近发布的报告中指出,3月6日发生的 Dofoil 恶意软件感染活动经过周密计划,且可追溯至2月中旬。

微软表示黑客在2月12日至19日期间黑进 MediaGet 的基础设施,设法将官方 MediaGet 安装程序替换为含有后门的程序。

攻击者随后留了2周的窗口期,一篇用户安装或升级至最新的包含后门的 MediaGet 版本。

攻击者在3月1日开始运行首批测试,使用该后门将恶意软件植入用户计算机并在3月6日发动主要攻击,当时他们传播的是 Dofoil 和密币恶意软件组合。

在攻击过程中,攻击者还使用了一个被盗数字证书为遭感染的 MediaGet 更新签名,试图躲避检测。

微软表示已将情况告知证书遭滥用的 MediaGet。目前后者尚未回复黑客如何入侵其网络的请求。

 

供应链攻击非常有效

上周发生的这起攻击并非黑客首次黑进网站通过恶意软件感染BitTorrent客户端。此前,黑客曾两次黑掉 Transmission BitTorrent 客户端。一次是传播 KeRanger 勒索软件,随后是传播 Keydnap 信息窃取恶意软件。这两起事件均针对 Mac 用户。

过去攻击者还黑掉其它软件发行网站,目的是将恶意软件插入可下载的文件中。其它事件包括 phpBB、Elmedia 播放器、HandBrake 和 Linux Mint。

当然,最引人注目的供应链攻击仍然是 NotPetya 勒索软件攻击,它通过一家乌克兰会计软件计划 M.E.Doc 遭污染的更新来实施攻击。

本文翻译自www.bleepingcomputer.com 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
奇安信代码卫士
分享到:微信

发表评论

奇安信代码卫士

奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。微信公号:codesafe。

  • 文章
  • 387
  • 粉丝
  • 104

热门推荐

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66