Geçtiğimiz hafta , bir kaç saat içinde cryptocurrency madenciliği kötü amaçlı yazılımları ile yaklaşık yarım milyon bilgisayar bulaşan büyük bir kötü amaçlı yazılım salgını, MediaGet adlı popüler BitTorrent istemcisinin arka kapısındaki bir versiyonundan kaynaklandı .
Dublajlı Dofoil (aynı zamanda Smoke Loader olarak da bilinir), kötü amaçlı yazılımın, virüs bulaşmış bir Windows bilgisayarında mayınlı elektron paralarının, kurbanların CPU döngülerini kullanan saldırganlar için yük olarak bir cryptocurrency madenci programını bıraktığı bulunmuştur.
6 Mart’ta Rusya, Türkiye ve Ukrayna’da PC’leri vuran Dofoil kampanyası, Microsoft Windows Defender araştırma departmanı tarafından keşfedildi ve ciddi zararlar vermeden önce saldırıyı engelledi.
Windows Defender araştırmacılarının bu saldırıyı tespit ettiği sırada, kötü amaçlı yazılımın sadece 12 saat içinde bu kadar büyük bir kitleye nasıl sunulduğundan bahsetmediler. Ancak, soruşturma sonrasında Microsoft bugün, saldırganların MediaGet BitTorrent yazılımının güncelleme mekanizmasını, trojanize versiyonunu (mediaget.exe) kullanıcıların bilgisayarlarına itmeyi hedeflediklerini ortaya çıkardı. “İmzalı bir mediaget.exe bir update.exe programını indirir ve yeni bir mediaget.exe yüklemek için makinede çalıştırır. Yeni mediaget.exe programı, orijinal ile aynı işlevselliğe sahiptir, ancak ek arka kapı yeteneği ile” Bugün yayınlanan bir blog yayını . Araştırmacılar inanmak update.exe benzer tedarik zinciri saldırının kurbanı, olması muhtemeldir imzalı MediaGet CCleaner kesmek virüslü üzerinde milyonu 2.3 kullanıcıları Eylül 2017 yazılımın backdoored sürümü ile.
Ayrıca, bu durumda saldırganlar zehirlenmiş update.exe dosyasını farklı bir sertifikayla imzaladı ve yasal MediaGet’in gerektirdiği doğrulamayı başarıyla geçti. “Düşmüş update.exe bir gömülü trojanized mediaget.exe, update.exe sahip bir paketlenmiş InnoSetup SFX. Çalıştırıldığında, mediaget.exe trojanized imzasız bir sürümünü bırakır.” Bir kez güncellendiğinde, ek arka kapı işlevselliğine sahip kötü amaçlı BitTorrent yazılımı, ademi merkezileştirilmiş Namecoin ağ altyapısında barındırılan komut ve kontrol (C & C) sunucularının birine (dörtten) rastgele bağlanır ve yeni komutları dinler. Daha sonra, CoinMiner bileşenini C & C sunucusundan hemen indirir ve saldırganların saldırganların mayın kripto paralarını kullanmaya başlar. C & C sunucularını kullanarak saldırganlar, uzak URL’den ek kötü amaçlı yazılım yüklemek ve yüklemek için virüslü sistemlere de komut verebilir.
Araştırmacılar, Trojan: Win32 / Modimer.A olarak Windows Defender AV tarafından algılanan truva attı BitTorrent istemcisinin, orijinal MediaGet ikilisine% 98 benzerliğe sahip olduğunu buldu.
Microsoft, Windows Defender Antivirüs yazılımı tarafından kullanılan davranış izleme ve AI tabanlı makine öğrenme teknikleri, bu büyük kötü amaçlı yazılım kampanyalarını tespit etmek ve engellemek için önemli bir rol oynamıştır.