MediaGet: vulneraron sus certificados para implantar malware minero

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

Un brote masivo de malware que infectó la semana pasada a casi medio millón de computadoras con malware de minería de criptomonedas en pocas horas fue causado por una versión de respaldo del popular cliente BitTorrent llamado MediaGet.

Apodado Dofoil (también conocido como Smoke Loader), el malware se encontró abandonando un programa minero de criptomonedas como carga útil en computadoras con Windows infectadas que extraen monedas electrónicas Electroneum para atacantes que usan ciclos de CPU de las víctimas.

La campaña Dofoil que golpeó PCs en Rusia, Turquía y Ucrania el 6 de marzo fue descubierta por el departamento de investigación de Microsoft Windows Defender y bloqueó el ataque antes de que pudiera haber causado daños severos.

 En el momento en que los investigadores de Windows Defender detectaron este ataque, no mencionaron cómo se entregó el malware a una audiencia tan masiva en solo 12 horas.

Sin embargo, después de la investigación, Microsoft reveló hoy que los atacantes atacaron el mecanismo de actualización del software MediaGet BitTorrent para impulsar su versión trojanizada (mediaget.exe) a las computadoras de los usuarios.

Un mediaget.exe firmado descarga un programa update.exe y lo ejecuta en la máquina para instalar un nuevo archivo mediaget.exe. El nuevo programa mediaget.exe tiene la misma funcionalidad que el original, pero con la capacidad adicional de puerta trasera, explicaron los investigadores en una publicación de blog de la compañía.

Los investigadores creen que MediaGet firmó su archivo update.exe con un certificado falso y es probable que sea una víctima del ataque a la cadena de suministro, similar al hack de CCleaner que infectó a más de 2,3 millones de usuarios con la versión backdoored del software en septiembre de 2017.

Anatomía del Ataque

En este caso, los atacantes firmaron el update.exe con un certificado digital diferente y pasaron con éxito la validación requerida por el MediaGet legítimo.

The dropped update.exe es un InnoSetup SFX empaquetado que tiene un mediaget.exe trojanizado incrustado, update.exe. Cuando se ejecuta, descarta una versión trojanizada sin firmar de mediaget.exe.

 

 

Por Josep Verdura – Analista de Seguridad de Vintegris