示意圖,與新聞事件無關。

微軟發現一款BitTorrent (BT)用戶端程式MediaGet被感染後,向全球超過40萬台Windows PC散佈挖礦程式CoinMiner。
 
這項研究是繼上周名為Dofoil或Smoke Loader的木馬攻擊行動的後續分析。今年初德國資安主管機關曾警告Dofoil/Smoke Loader木馬程式透過網釣郵件在網路散佈。3月6日微軟防毒軟體Windows Defender攔截與偵測到Dofoil蔓延到俄羅斯、土耳其及烏克蘭等地,分析後發現Dofoil會在受害PC植入挖礦程式CoinMiner來採Electroneum幣。
 
Dofoil有許多散播途徑,包括垃圾郵件或攻擊程式,但微軟發現上周的攻擊非常特殊,因為大部份惡意檔案是由mediaget.exe的程序(process)撰寫,後者又和俄羅斯MediaGet的P2P分享軟體有關。這個軟體經常用於從網站下載程式或影音內容,可能導致用戶遭惡意程式感染,因而被歸類為一種垃圾軟體(potentially unwanted application, PUA)。
 
微軟指出,上周感染是利用MediaGet的一項精心策畫的攻擊行動,使用到涵括進階跨程序注入、持續性機制和躲避偵測等手法。而準備工作從2月中就已開始,微軟稱為MediaGet升級下毒(MediaGet update poisoning)。

升級下毒流程:


 
微軟發現,mediaget.exe取用其他軟體公司憑證簽章後,從MediaGet升級伺服器下載升級程式稱為update.exe,後者再安裝一個未經簽章的山寨版mediaget.exe。update.exe是一個InnoSetup SFX檔案,在獲得另一家軟體公司的憑證簽發後,從外部C&C伺服器成功下載山寨版mediaget.exe和正牌軟體相似度高達98%,唯一不同是它包含後門程式。
 
而山寨版mediaget.exe後續的攻擊行為也十分高明。它可和另外二台惡意程式伺服器建立連線,下載名為my.dat(即Dofoil)的木馬程式下載工具(Trojan Downloader),但為隱藏行動,這個下載工具透過程序替換(process hollowing) 的手法偽裝成explorer.exe,最後在受害PC上安裝CoinMiner。
 
上述這段過程發生在2月12到19日之間。3月1日Dofoil開始第一波散佈,一周之後即大爆發,最後感染了俄羅斯、俄羅斯及土耳其等地超過40萬台Windows PC。

 

熱門新聞

Advertisement