Automatische update voor torrent-client en adblockers bevat backdoor

[Captain Kirk]

Een onbekende aanvaller heeft geprobeerd om gebruikers van een populaire torrent-client en drie adblockers via een automatische update van de programma's met malware te infecteren. Dat ontdekten onderzoekers van antivirusbedrijf Avast. Het gaat om de torrent-client Download Studio, die met name in Rusland en de Oekraïne populair is, en de adblockers NetShield Kit, My AdBlock en Net AdBlock.

De vier programma's ontvingen via een automatische update een aangepaste versie van het antimalwareprogramma Malwarebytes, die stilletjes op het systeem werd geïnstalleerd. De aanvaller had twee dll-bestanden aan de installatie toegevoegd, waarvan één een backdoor was. De dll-bestanden werden bij het starten van Malwarebytes automatisch geladen.

Via de backdoor kon de aanvaller met besmette machines communiceren en die opdrachten geven. Zo werden de besmette machines gebruikt voor het delven van cryptovaluta. Avast detecteerde de malware op meer dan honderdduizend systemen. Het werkelijke aantal slachtoffers ligt mogelijk veel hoger, aangezien het genoemde aantal alleen gebruikers betreft die Avast hadden geïnstalleerd.

De onderzoekers benaderden de ontwikkelaars van Download Studio. Die beweerden dat ze in augustus met een beveiligingsincident te maken hadden gekregen en maatregelen hadden genomen. Verdere details, zoals het aantal getroffen gebruikers en of die zijn ingelicht, werden niet gegeven. De drie adblockers zijn zeer waarschijnlijk van hetzelfde team afkomstig dat Download Studio ontwikkelde.

Het ip-adres waarop de adblockers worden gehost bleek ook verschillende "coinminers" te bevatten, die erg veel leken op de coinminer die via de backdoor werd verspreid. De onderzoekers schetsen dan ook drie scenario's. De ontwikkelaars van Download Studio probeerden hun gebruikers te "verzilveren". Overeenkomsten tussen de code van Download Studio en de backdoor lijken dit te suggereren. Daarnaast kan het zijn dat een groep kwaadwillende medewerkers zonder medeweten van het bedrijf dit heeft gedaan of dat een aanvaller toegang tot de updateservers heeft gekregen.

 

bron: security.nl