-
-
folge blueBit auf Facebook -
folge blueBit auf Twitter@blueBit_News folgen -
folge blueBit auf Google Plus
-
von Robert Klatt •
Hackern ist es gelungen die Installationsdaten von MediaGet auf dem Server der Hersteller auszutauschen. Die infizierten Rechner wurden zum Minen verwendet.
Unbekannten Hacker ist es gelungen Zugriff auf den Update-Server des BitTorrent-Clients MediaGet zu erlangen. Sie konnten so eine neuen MediaGet-Version mit einer Backdoor platzieren, die ahnungslose Nutzer beim Download mit einer Malware infizierte. Insgesamt wurden in der vergangenen Woche so rund 400.000 Windows-Computer mit der Malware Dofoil infiziert. Microsoft die den Vorfall untersucht haben, haben festgestellt, dass vor allem Systeme in der Türkei, Russland und der Ukraine betroffen sind. Es wurden aber auch zahlreiche Nutzer in Deutschland mit Dofoil infiziert.
Inzwischen stuft Microsoft MediaGet als potenziell schädliche Software ein. File-Sharing-Apps werden oft zur Verbreitung von Malware genutzt, dies geschieht meist aber durch die Downloads und nicht durch die Software an sich. Experten von Microsoft haben im Fall von Mediaget zweifelsfrei festgestellt, dass Dofoil nicht über infizierte Torrents sondern über den Prozess „mediaget.exe“ verbreitet wurden.
Auch der eigentliche Angriff deutet auf hohen Sachverstand bei den Hintermännern hin. Er war von langer Hand „sorgfältig geplant“. Die infizierten Installationsdateien für den BitTorrent-Client wurden bereits zwei Wochen vor der Infektionswelle auf den Servern platziert. Nutzer laden vom russischen MediaGet-Server die signierte „mediaget.exe“, die dann wiederum die „update.exe“ herunterlädt, die ebenfalls signiert ist. Die eigentliche Infektion folgt erst im dritten Schritt mit der nicht signierten Datei „mediate.exe“. Damit Nutzer möglichst lange nichts von der Infektion mitbekommen, arbeitet auch die infizierte Datei problemlos.
Über das genaue Vorgehen der Hacker sind sich die Experten von Microsoft noch im Unklaren. Sie vermuten jedoch, dass die „update.exe“ mithilfe eines vorher ebenfalls gestohlenen Zertifikats signiert wurde. Dies ist nötig da die legitime „mediaget.exe“ eine signierte „update.exe“ benötigt. Das Team fand heraus, dass die manipulierte „mediate.exe“ zu 98 Prozent mit der Originaldatei übereinstimmt. Um nicht von Sicherheitssoftware erkannt zu werden, wurde der Schadcode in den legitimen Windows Explorer (Explorer.exe) eingeschleust.
Dofoil selbst richtig auf dem Computer der Opfer keinen Schaden an. Er ist auch unter dem Namen „Smoke Loader“ bekannt und wird dazu verwendet unterschiedliche Schadprogramme nach der Infektion zu installieren. Im MediaGet-Fall wurde ein Kryptominer für den relativ kleinen Electroneum Coin installiert. Nach einem Update des Windows-Defender konnte Microsoft innerhalb von 12 Stunden auf rund 400.000 Computern diese Schadsoftware entdecken. Der Konzern weißt daraufhin, dass neben dem relativ harmlosen Kryptominer auch weit gefährlichere Dinge wie Ransomware installiert hätte werden könnten.