Besmette MediaGet-update achter recente cryptominer-uitbraak

[Captain Kirk]

Een besmette update voor de torrentclient MediaGet is verantwoordelijk voor de grote cryptominer-uitbraak waar Microsoft vorige week voor waarschuwde. De softwaregigant ontdekte in korte tijd 400.000 gevallen van de Dofoil-malware op computers, die uiteindelijk de cryptominer downloadde.

De cryptominer gebruikt de rekenkracht van de besmette computers om naar cryptovaluta te delven. Met name computers in Rusland, Turkije en Oekraïne kregen met de malware te maken. Dofoil, ook bekend als Smoke Loader, verspreidt zich normaliter via besmette e-mailbijlagen en exploitkits. Opvallend aan de uitbraak van vorige week was dat de meeste besmette bestanden afkomstig waren van een proces genaamd mediaget.exe. MediaGet is een programma om torrents mee te downloaden. In dit geval was de malware niet via besmette torrents gedownload, maar van het programma zelf afkomstig.

Verder onderzoek wees uit dat het om een zorgvuldig geplande aanval ging, aldus Microsoft. De aanvallers hadden van 12 februari tot 19 februari dit jaar via de MediaGet-updateservers een besmette update onder gebruikers verspreid. Deze update installeerde een gebackdoorde versie van de torrentclient. Van 1 maart tot en met 6 maart werd vervolgens deze backdoor gebruikt om malware bij gebruikers te installeren. Microsoft zegt dat het informatie met de ontwikkelaars van MediaGet heeft gedeeld, maar die hebben nog geen melding van het incident op hun website gemaakt.

 

 

bron: security.nl