Золотые дни идет свободное скачивание без начисления Download
 

Офлайн

andrew6572

Стаж:
5 лет 11 месяцев
Сообщений:
5935

Злоумышленники подделали клиент MediaGet
Предприимчивые злоумышленники сумели внедрить в официальный дистрибутив некоторое количество вредоносного кода, с помощью системы обновления. В дистрибутив программы, разработанной российскими разработчиками, был внедрен криптовалютный майнер Dofoil .
Для этой цели злоумышленники взломали сервера обновлений BitTorrent-клиента MediaGet. Затем они подменили обновленную версию MediaGet практически неидентифицируемым бэкдором, поэтому Dofoil инфицировал компьютеры преимущественно в России, Украине и Турции.
Продукты безопасности Microsoft идентифицируют созданный российскими разработчиками клиент MediaGet как потенциально нежелательное приложение, однако в случае с майнером он сыграл роль своеобразного моста к жертвам.
Программы для обмена файлами могут использоваться для распространения вредоносного ПО, однако в данном случае майнер попадал на компьютеры не через загруженные торрент-файлы, а через процесс mediaget.exe, [Ссылки могут видеть только зарегистрированные пользователи. ] специалисты Microsoft.
По словам экспертов, атака была тщательно спланирована – злоумышленники подготовили все необходимое еще за две недели до самой атаки. «С целью обеспечить плацдарм для проведения атаки злоумышленники осуществили update poisoning (повреждение целостности обновлений – ред.), в результате чего на компьютеры была установлена версия MediaGet с трояном», – сообщили эксперты.
Подписанный файл mediaget.exe с сервера обновлений MediaGet загружал программу update.exe, устанавливавшую новый, неподписанный mediaget.exe. Файл работал, как настоящий, только еще и содержал бэкдор. По мнению специалистов Microsoft, подписавшая mediaget.exe сторонняя компания сама стала жертвой хакеров. Злоумышленники подписали поддельное обновление другим сертификатом с целью пройти проверку подлинности, осуществляемую MediaGet.
Поддельное обновление на 98% такое же, как и оригинал. Для обхода обнаружения троян использует метод Process Hollowing.
Process Hollowing – метод внедрения кода, заключающийся в создании нового экземпляра легитимного процесса и последующую подмену легитимного кода вредоносным.
полная версия статьи

_________________
"Любая война – всего лишь трусливое бегство от проблем мирного времени." Томас Манн.
[Профиль] [ЛС]
Показать сообщения:    

Текущее время: Сегодня 13:52

Часовой пояс: GMT + 3



Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы