Свыше 400 тыс. компьютеров российских и турецких пользователей торрент-клиента MediaGet пали жертвой троянца Dofoil. Корпорации Microsoft удалось остановить кампанию по распространению вредоноса.
Более 200 тыс. компьютеров российских и турецких пользователей оказались заражены троянцем Dofoil из-за бэкдора в BitTorrent-клиенте российского производства MediaGet. Все заражения произошли в пределах 12 часов. Троянец, после попадания в систему, пытался установить криптомайнер Monero.
Корпорация Microsoft опубликовала исследование этого инцидента, случившегося 6 марта 2018 г. В нем указывается, что именно эксперты по безопасности Microsoft – разработчики Windows Defender – остановили стремительное распространение троянца.
Вредоносную кампанию удалось обнаружить благодаря технологиям поведенческого мониторинга и машинного обучения. Изначально никто не понимал, каким образом Dofoil распространяется с такой скоростью, но сейчас стало известно, что основным инструментом распространения был файл под названием my.dat. Этот файл генерируется исполняемым файлом клиента BitTorrent MediaGet.
Дальнейшее расследование показало, что операторы Dofoil, по-видимому, взломали инфраструктуру MediaGet где-то между 12 и 19 февраля 2018 г., подменив официальный инсталлятор MediaGet своей версией, содержащей бэкдор. Злоумышленники также использовали краденый сертификат безопасности, которым и был подписан вредоносный апдейт MediaGet. Эксперты Microsoft уже проинформировали и разработчиков торрент-клиента, и компанию, у которой был украден сертификат безопасности. Что это за компания, Microsoft не уточняет.
