Российский торрент-клиент молниеносно заразил трояном полмиллиона ПК

400 тыс. зараженных ПК за 12 часов Более 200 тыс. компьютеров российских и турецких пользователей оказались заражены троянцем Dofoil из-за бэкдора в BitTorrent-клиенте российского производства MediaGet. Все заражения произошли в пределах 12 часов. Троянец, после попадания в систему, пытался установить криптомайнер Monero. Корпорация Microsoft опубликовала исследование этого инцидента, случившегося 6 марта 2018 г. В нем указывается, что именно эксперты по безопасности Microsoft - разработчики Windows Defender - остановили стремительное распространение троянца. Вредоносную кампанию удалось обнаружить благодаря технологиям поведенческого мониторинга и машинного обучения. Подробности об инциденте опубликованы в блоге Microsoft. Клиент как улика Изначально никто не понимал, каким образом Dofoil распространяется с такой скоростью, но сейчас стало известно, что основным инструментов распространения был файл под названием my.dat. Этот файл генерируется исполняемым файлом клиента BitTorrent MediaGet. Дальнейшее расследование показало, что операторы Dofoil, по-видимому, взломали инфраструктуру MediaGet где-то между 12 и 19 февраля 2018 г., подменив официальный инсталлятор MediaGet своей версией, содержащей бэкдор. http://filearchive.cnews.ru/img/news/2018/03/16/dofoil600.jpg"> Основная часть зараженных трояном Dofoil через торрент-клиент MediaGet пришлась на Россию и Турцию Злоумышленники также использовали краденый сертификат безопасности, которым и был подписан вредоносный апдейт MediaGet. «Налицо очень неплохо продуманная операция, - говорит Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. - Возможно, если бы злоумышленники действовали менее торопливо, масштабы заражения были бы еще более обширными. В любом случае, атаки, при которых хакеры взламывают инфраструктуру разработчиков популярного ПО и компрометируют установочные файлы, особенно опасны, поскольку пользователи привыкли доверять таким программам по умолчанию, и даже не подозревают, что оно может таить угрозу. А угроза может быть огромной - достаточно вспомнить инциденты с зараженными шифровальщиком обновлениями бухгалтерского пакета M.E.Doc или CCleaner, зараженного ПО, крадущим данные». «Отравление» инсталляторами Примеров подобного действительно немало. Разработчиков другого BitTorrent-клиента - Transmission - [url=http://www.cnews.ru/news/top/2018-03-16_rossijskij_torrent_klient_molnienosno_zarazil] Ссылка на источник[/url][img]http://filearchive.cnews.ru/img/news/2018/03/16/dofoil600.jpg"> Основная часть зараженных трояном Dofoil через торрент-клиент MediaGet пришлась на Россию и Турцию Злоумышленники также использовали краденый сертификат безопасности, которым и был подписан вредоносный апдейт MediaGet. «Налицо очень неплохо продуманная операция, - говорит Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. - Возможно, если бы злоумышленники действовали менее торопливо, масштабы заражения были бы еще более обширными. В любом случае, атаки, при которых хакеры взламывают инфраструктуру разработчиков популярного ПО и компрометируют установочные файлы, особенно опасны, поскольку пользователи привыкли доверять таким программам по умолчанию, и даже не подозревают, что оно может таить угрозу. А угроза может быть огромной - достаточно вспомнить инциденты с зараженными шифровальщиком обновлениями бухгалтерского пакета M.E.Doc или CCleaner, зараженного ПО, крадущим данные». «Отравление» инсталляторами Примеров подобного действительно немало. Разработчиков другого BitTorrent-клиента - Transmission - Ссылка на источник