Trojan BitTorrent Update lây nhiễm hơn 400.000 máy tính

Một vụ bùng phát phần mềm độc hại lớn gây nên bởi malware đào tiền ảo đã lây nhiễm hơn 400.000 máy tính chỉ trong vài giờ đồng hồ. Nguyên nhân xuất phát từ một phiên bản backdoor phổ biến của BitTorrent dành cho khách hàng gọi là MediaGet. Dofoil (hay còn được gọi là Smoke Loader), phần mềm độc hại này cài một chương trình khai thác tiền ảo như một payload trên máy tính Windows bị nhiễm từ việc khai thác Electroneum digital coin, thông qua malware này, kẻ tấn công có thể lợi dụng CPU của nạn nhân. Chiến dịch Dofoil đã tấn công các máy tính ở Nga, Thổ Nhĩ Kỳ và Ukraine vào ngày 6 tháng 3 vừa qua với hậu quả là lây nhiễm hơn 400.000 máy tính đã được bộ phận nghiên cứu Windows Defend của Microsoft phát hiện và ngăn chặn kịp thời trước khi nó có thể gây ra các thiệt hại nghiêm trọng hơn. Vào thời điểm các nhà nghiên cứu của Windows Defender phát hiện ra cuộc tấn công này, họ đã không đề cập đến cách mà phần mềm độc hại này đã lây nhiễm hơn 400.000 máy tính chỉ trong vòng 12 giờ đồng hồ. Tuy nhiên, sau cuộc điều tra, Microsoft đã tiết lộ rằng kẻ tấn công nhắm đến cơ chế cập nhật của phần mềm MediaGet BitTorrent để thông qua đó cài trojan (mediaget.exe) vào máy tính của người dùng. Các nhà nghiên cứu giải thích: “Mediaget.exe tải xuống chương trình update.exe và chạy nó trên máy bị nhiễm để cài đặt một mediaget.exe mới. Chương trình mediaget.exe mới này có chức năng tương tự như phiên bản gốc nhưng có thêm tính năng backdoor.” Các nhà nghiên cứu tin rằng bản MediaGet update.exe có thể trở thành nạn nhân của cuộc tấn công chuỗi cung ứng, tương tự như CCleaner hack đã lây nhiễm đến 2,3 triệu người dùng với phiên bản backdoor của phần mềm vào tháng 9 năm 2017.

Ngoài ra, trong trường hợp này, những kẻ tấn công đã chỉnh sửa lại bản cập nhật update.exe với một chứng chỉ khác và đã thành công vượt yêu cầu xác nhận hợp lệ của MediaGet. “Bản cập nhật được cài vào là một gói InnoSetup SFX có chứa trojan mediaget.exe và update.exe. Khi chạy, nó sẽ cài một phiên bản trojan mediaget.exe đó vào máy bị nhiễm”. Sau khi cập nhật, phần mềm BitTorrent độc hại với chức năng backdoor bổ sung sẽ kết nối ngẫu nhiên vào một trong số bốn máy chủ điều khiển và kiểm soát (C & C) trên cơ sở hạ tầng mạng Namecoin và sẵn sàng nhận lệnh mới. Sau đó, ngay lập tức tải các thành phần CoinMiner từ máy chủ C & C của nó, và bắt đầu sử dụng máy tính của nạn nhân để khai thác tiền ảo cho kẻ tấn công. Kẻ tấn công sử dụng máy chủ C & C cũng có thể yêu cầu các hệ thống bị nhiễm tải xuống và cài đặt thêm phần mềm độc hại từ một remote URL. Các nhà nghiên cứu đã phát hiện ra rằng máy khách BitTorrent bị Trojan tấn công, được phát hiện bởi Windows Defender AV như Trojan: Win32 / Modimer.A, có 98% tương tự với nhị phân MediaGet ban đầu. Microsoft cho biết việc giám sát hành vi và AI dựa trên machine learning được sử dụng bởi phần mềm Windows Defender Antivirus của hãng đã đóng một vai trò quan trọng trong việc phát hiện và ngăn chặn chiến dịch chống malware khổng lồ.