在上周发生了一起大规模恶意软件爆发事件,仅在12个小时内就有超过50万台计算机遭到了感染,而恶意软件的目的是在受感染计算机上部署加密货币挖矿程序。
根据最新的调查结果显示,这起事件是由流行的种子下载工具MediaGet造成的。
被称为“Dofoil”(也称Smoke Loader)的恶意软件被发现将一个加密货币挖矿程序作为最终有效载荷部署在了受感染的Windows计算机上,以利用计算机的CPU资源为攻击者挖掘以利坊(Electroneum)。
在3月6日,攻击俄罗斯、土耳其和乌克兰计算机用户的Dofoil活动被微软Windows Defender团队发现,并在可能造成更严重的损害之前将其阻止。
不过,在Windows Defender团队的研究人员发现这起攻击时,他们并没有提到恶意软件是如何在如此短的时间内如何分发给如此庞大的用户群体的。经过一周的调查,微软在本周三给我们带来了答案。
Windows Defender团队指出,Dofoil是通过名为“my.dat”的文件登录到受害者的计算机上,而这个文件是由MediaGet的木马化版本中的可执行文件mediaget.exe创建的。
Windows Defender团队在其发布的博客文章中解释说:“一个经过签名的mediaget.exe会下载一个update.exe程序并在计算机上运行它,以安装一个新的mediaget.exe。而新的mediaget.exe程序与原始程序具有相同的功能,但具有额外的后门功能。”
同时,Windows Defender团队还指出,3月6日的恶意软件爆发事件是一起经过精心策划的攻击活动,最初的基础工作可以追溯到2月中旬。
攻击者可能在2月12日至19日期间就已经成功侵入了MediaGet的基础架构,并将官方的MediaGet安装程序替换为了包含后门功能的木马化版本。
攻击者在3月1日开始了第一次攻击测试,利用后门在目标受害者的计算机上植入恶意软件,并在3月6日发起了基于Dofoil木马与加密货币挖矿程序相结合的攻击活动。
在MediaGet的木马化版本被成功安装后,它将随机连接到位于其分布式Namecoin网络基础架构上的四个命令与控制(C&C)服务器中的其中一个,然后下载并运行my.dat(用于下载Dofoil),最终导致加密货币挖矿程序的部署。
值得注意的是,使用C&C服务器意味着攻击者还可以命令受感染计算机从远端下载并安装其他恶意软件,以发动更多类型的恶意攻击活动。
正如微软提到的那样,安装了Windows Defender或Microsoft Security Essentials的Windows 10、Windows 8.1和Windows 7操作系统的计算机能够得到很好的保护,以避免遭受此类恶意攻击。因为,我们建议各位计算机用户将系统升级到最新的操作系统,并启用系统附带的安全功能以及安装必要的防病毒软件。
领取专属 10元无门槛券
私享最新 技术干货