Російський троян заразив понад 200 тисяч комп’ютерів

Понад 400 тис. комп’ютерів російських і турецьких користувачів торрент-клієнта MediaGet стали жертвами троянця Dofoil. Корпорації Microsoft вдалося зупинити кампанію з поширення шкідливої програми.

Понад 200 тис. комп’ютерів російських і турецьких користувачів виявилися заражені троянцем Dofoil через бекдора в BitTorrent-клієнта російського виробництва MediaGet. Все зараження відбулися в межах 12 годин. Троянець, після попадання в систему, намагався встановити криптомайнер Monero.

Корпорація Microsoft опублікувала дослідження цього інциденту, що стався 6 березня 2018 р. В ньому вказується, що саме експерти з безпеки Microsoft – розробники Windows Defender – зупинили стрімке поширення троянця.

Шкідливу кампанію вдалося виявити завдяки технологіям поведінкового моніторингу і машинного навчання. Спочатку ніхто не розумів, яким чином Dofoil поширюється з такою швидкістю, але зараз стало відомо, що основним інструментом поширення був файл під назвою my.dat. Цей файл генерується виконуваним файлом клієнта BitTorrent MediaGet.

Подальше розслідування показало, що оператори Dofoil, мабуть, зламали інфраструктуру MediaGet десь між 12 і 19 лютого 2018 р., підмінивши офіційний інсталятор MediaGet своєю версією, що містить бекдор. Зловмисники також використовували крадений сертифікат безпеки, яким і був підписаний шкідливий апдейт MediaGet. Експерти Microsoft вже поінформували і розробників торрент-клієнта, і компанію, у якої був вкрадений сертифікат безпеки. Що це за компанія, Microsoft не уточнює.