種子下載器MediaGet遭木馬感染 致近50萬台計算機淪為「礦工」

在上周發生了一起大規模惡意軟體爆發事件，僅在12個小時內就有超過50萬台計算機遭到了感染，而惡意軟體的目的是在受感染計算機上部署加密貨幣挖礦程序。

根據最新的調查結果顯示，這起事件是由流行的種子下載工具MediaGet造成的。

被稱為「Dofoil」(也稱Smoke Loader)的惡意軟體被發現將一個加密貨幣挖礦程序作為最終有效載荷部署在了受感染的Windows計算機上，以利用計算機的CPU資源為攻擊者挖掘以利坊(Electroneum)。

在3月6日，攻擊俄羅斯、土耳其和烏克蘭計算機用戶的Dofoil活動被微軟Windows Defender團隊發現，並在可能造成更嚴重的損害之前將其阻止。

不過，在Windows Defender團隊的研究人員發現這起攻擊時，他們並沒有提到惡意軟體是如何在如此短的時間內如何分發給如此龐大的用戶群體的。經過一周的調查，微軟在本周三給我們帶來了答案。

Windows Defender團隊指出，Dofoil是通過名為「my.dat」的文件登錄到受害者的計算機上，而這個文件是由MediaGet的木馬化版本中的可執行文件mediaget.exe創建的。

Windows Defender團隊在其發布的博客文章中解釋說：「一個經過簽名的mediaget.exe會下載一個update.exe程序並在計算機上運行它，以安裝一個新的mediaget.exe。而新的mediaget.exe程序與原始程序具有相同的功能，但具有額外的後門功能。」

同時，Windows Defender團隊還指出，3月6日的惡意軟體爆發事件是一起經過精心策劃的攻擊活動，最初的基礎工作可以追溯到2月中旬。

攻擊者可能在2月12日至19日期間就已經成功侵入了MediaGet的基礎架構，並將官方的MediaGet安裝程序替換為了包含後門功能的木馬化版本。

攻擊者在3月1日開始了第一次攻擊測試，利用後門在目標受害者的計算機上植入惡意軟體，並在3月6日發起了基於Dofoil木馬與加密貨幣挖礦程序相結合的攻擊活動。

在MediaGet的木馬化版本被成功安裝後，它將隨機連接到位於其分散式Namecoin網路基礎架構上的四個命令與控制(C&C)伺服器中的其中一個，然後下載並運行my.dat(用於下載Dofoil)，最終導致加密貨幣挖礦程序的部署。

值得注意的是，使用C&C伺服器意味著攻擊者還可以命令受感染計算機從遠端下載並安裝其他惡意軟體，以發動更多類型的惡意攻擊活動。

正如微軟提到的那樣，安裝了Windows Defender或Microsoft Security Essentials的Windows 10、Windows 8.1和Windows 7操作系統的計算機能夠得到很好的保護，以避免遭受此類惡意攻擊。因為，我們建議各位計算機用戶將系統升級到最新的操作系統，並啟用系統附帶的安全功能以及安裝必要的防病毒軟體。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！