Российский торрент-клиент молниеносно заразил трояном полмиллиона ПК

Безопасность Стратегия безопасности Пользователю Новости поставщиков Интернет Веб-сервисы
мобильная версия
, Текст: Роман Георгиев
Свыше 400 тыс. компьютеров российских и турецких пользователей торрент-клиента MediaGet пали жертвой троянца Dofoil. Корпорации Microsoft удалось остановить кампанию по распространению вредоноса.

400 тыс. зараженных ПК за 12 часов

Более 200 тыс. компьютеров российских и турецких пользователей оказались заражены троянцем Dofoil из-за бэкдора в BitTorrent-клиенте российского производства MediaGet. Все заражения произошли в пределах 12 часов. Троянец, после попадания в систему, пытался установить криптомайнер Monero.

Корпорация Microsoft опубликовала исследование этого инцидента, случившегося 6 марта 2018 г. В нем указывается, что именно эксперты по безопасности Microsoft - разработчики Windows Defender - остановили стремительное распространение троянца. Вредоносную кампанию удалось обнаружить благодаря технологиям поведенческого мониторинга и машинного обучения.

Подробности об инциденте опубликованы в блоге Microsoft.

Клиент как улика

Изначально никто не понимал, каким образом Dofoil распространяется с такой скоростью, но сейчас стало известно, что основным инструментов распространения был файл под названием my.dat. Этот файл генерируется исполняемым файлом клиента BitTorrent MediaGet.

Дальнейшее расследование показало, что операторы Dofoil, по-видимому, взломали инфраструктуру MediaGet где-то между 12 и 19 февраля 2018 г., подменив официальный инсталлятор MediaGet своей версией, содержащей бэкдор.

Основная часть зараженных трояном Dofoil через торрент-клиент MediaGet пришлась на Россию и Турцию

Злоумышленники также использовали краденый сертификат безопасности, которым и был подписан вредоносный апдейт MediaGet.

«Налицо очень неплохо продуманная операция, - говорит Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. - Возможно, если бы злоумышленники действовали менее торопливо, масштабы заражения были бы еще более обширными. В любом случае, атаки, при которых хакеры взламывают инфраструктуру разработчиков популярного ПО и компрометируют установочные файлы, особенно опасны, поскольку пользователи привыкли доверять таким программам по умолчанию, и даже не подозревают, что оно может таить угрозу. А угроза может быть огромной - достаточно вспомнить инциденты с зараженными шифровальщиком обновлениями бухгалтерского пакета M.E.Doc или CCleaner, зараженного ПО, крадущим данные».

«Отравление» инсталляторами

Примеров подобного действительно немало. Разработчиков другого BitTorrent-клиента - Transmission - взламывали, чтобы заражать пользователей Mac шифровальщиком KeRanger и вредоносом Keydnap.

Пользователи Mac также оказывались году под угрозой со стороны создателей троянца Proton RAT, распространявшегося через медиаплеер Elmedia и Handbrake. В обоих случаях злоумышленникам удавалось взломать сайты разработчиков и подменять оригинальные инсталляторы зараженными.

Что касается инцидента с MediaGet, то эксперты Microsoft уже проинформировали и разработчиков торрент-клиента, и компанию, у которой был украден сертификат безопасности. Что это за компания, Microsoft не уточняет.