Trojan BitTorrent Update

Trojan BitTorrent Update đã lây nhiễm hơn 400.000 máy tính chỉ trong vài giờ

March 15, 2018 | vietsunshine

Một vụ bùng phát phần mềm độc hại lớn vào tuần trước đã lây nhiễm gần nửa triệu máy tính chỉ trong vài giờ, malware đào tiền ảo được cài backdoor vào client của phần mềm nổi tiếng BitTorrent với tên gọi Mediaget.

Dofoil (còn được gọi là Smoke Loader), phần mềm độc hại được tìm thấy đã “thả” một chương trình khai thác tiền ảo Electroneum trên máy tính Windows, giúp kẻ tấn công sử dụng CPU của nạn nhân.

Chiến dịch Dofoil đã tấn công các máy tính ở Nga, Thổ Nhĩ Kỳ, Ucraina vào ngày 06/03 và đã được tìm ra bởi Bộ phận nghiên cứu của Microsoft Windows Defender. Sự việc đã được ngăn chặn trước khi nó có thể gây ra hậu quả nghiêm trọng.

Vào thời điểm các nhà nghiên cứu của Windows Defender phát hiện ra cuộc tấn công này, họ đã không đề cập đến cách mà phần mềm độc hại đã lây nhiễm cho một đối tượng lớn các máy tính chỉ trong 12 giờ.

Tuy nhiên, sau cuộc điều tra, Microsoft đã tiết lộ rằng kẻ tấn công đã nhắm mục tiêu cơ chế cập nhật của phần mềm MediaGet BitTorrent để đẩy phiên bản trojan (mediaget.exe) vào máy tính của người dùng.

“Mediaget.exe đã tải xuống tải một chương trình update.exe và chạy nó trên máy để cài đặt một mediaget.exe mới. Chương trình mediaget.exe mới này có chức năng tương tự như phiên bản gốc nhưng có thêm tính năng backdoor”, các nhà nghiên cứu giải thích trong bài đăng trên blog.

Các nhà nghiên cứu tin rằng cuộc tấn công này tương tự như trường hợp của CCleaner đã lây nhiệm cho 2.3 triệu người dùng vào tháng 9 năm 2017.

Sau khi cập nhật, phần mềm BitTorrent độc hại với chức năng backdoor bổ sung sẽ kết nối ngẫu nhiên vào một trong số bốn máy chủ điều khiển và kiểm soát (C&C) trên cơ sở hạ tầng mạng Namecoin và thực thi các lệnh mới. Ngay lập tức, các thành phần của CoinMiner sẽ được tải về và bắt đầu sử dụng máy tính của nạn nhân để đào tiền ảo.

Sử dụng máy chủ C&C, kẻ tấn công cũng có thể yêu cầu các hệ thống bị nhiễm tải xuống và cài đặt thêm phần mềm độc hại từ một remote URL.

Các nhà nghiên cứu đã phát hiện ra rằng máy khách BitTorrent bị Trojan tấn công, được phát hiện bởi Windows Defender AV như Trojan:Win32/Modimer.A, có 98% giống với MediaGet binary ban đầu.

Microsoft cho biết giám sát hành vi và AI dựa trên machine learning  được sử dụng bởi phần mềm Windows Defender Antivirus của hãng đã đóng một vai trò quan trọng để phát hiện và ngăn chặn chiến dịch malware khổng này.

Tags: , ,