Оффлайн
Apollon
Заблокирован
- Регистрация
- 07.09.17
- Сообщения
- 5.309
- Реакции
- 1.010
- Репутация
- 1.625
You must be registered for see images attach
Для распространения криптомайнера злоумышленники взломали сервер обновлений BitTorrent-клиента MediaGet.
Причиной масштабной атаки криптовалютного майнера Dofoil, на прошлой неделезаразившегосвыше 400 тыс. компьютеров в течение всего нескольких часов, стал взлом сервера обновлений BitTorrent-клиента MediaGet. Злоумышленники взломали сервер и подменили обновленную версию MediaGet практически неидентифицируемым бэкдором, поэтому Dofoil инфицировал компьютеры преимущественно в России, Украине и Турции.
Продукты безопасности Microsoft идентифицируют созданный российскими разработчиками клиент MediaGet как потенциально нежелательное приложение, однако в случае с майнером он сыграл роль своеобразного моста к жертвам.
Программы для обмена файлами могут использоваться для распространения вредоносного ПО, однако в данном случае майнер попадал на компьютеры не через загруженные торрент-файлы, а через процесс mediaget.exe,отмечаютспециалисты Microsoft.
По словам экспертов, атака была тщательно спланирована – злоумышленники подготовили все необходимое еще за две недели до самой атаки. «С целью обеспечить плацдарм для проведения атаки злоумышленники осуществили update poisoning (повреждение целостности обновлений – ред.), в результате чего на компьютеры была установлена версия MediaGet с трояном», – сообщили эксперты.
Подписанный файл mediaget.exe с сервера обновлений MediaGet загружал программу update.exe, устанавливавшую новый, неподписанный mediaget.exe. Файл работал, как настоящий, только еще и содержал бэкдор. По мнению специалистов Microsoft, подписавшая mediaget.exe сторонняя компания сама стала жертвой хакеров. Злоумышленники подписали поддельное обновление другим сертификатом с целью пройти проверку подлинности, осуществляемую MediaGet.
Поддельное обновление на 98% такое же, как и оригинал. Для обхода обнаружения троян использует метод Process Hollowing.
Process Hollowing – метод внедрения кода, заключающийся в создании нового экземпляра легитимного процесса и последующую подмену легитимного кода вредоносным.
Заметил, что сейчас очень много людей занимается майнингом. Как оно сейчас, до сих пор выгодно или все зависит именно от криптовалюты? Раньше, насколько я знаю было намного проще.
Да, сейчас добыча усложнилась, так как алгоритм сложнее стал, при этом стоимость основных монет типа биткоина и эфира, ощутимо снизилась, так то сейчас майнить не особо выгодно, особенно если еще посмотреть на стоимость электричества...