Categories: SicherheitVirus

Präparierter BitTorrent-Client: Hacker infizieren Hunderttausende Windows-Rechner mit Malware

Unbekannte haben offenbar einen Update-Server des BitTorrent-Clients MediaGet kompromittiert und eine mit einer Hintertür versehene Kopie der Anwendung eingeschleust. Sie führte in der vergangenen Woche dazu, dass innerhalb weniger Stunden mehr als 400.000 Windows-PCs mit der Malware Dofoil infiziert wurden. Wie Microsoft berichtet, sind in erster Linie Systeme in Russland, der Türkei und der Ukraine betroffen.

Microsoft stuft MediaGet als eine potenziell unerwünschte Anwendung ein. Obwohl File-Sharing-Apps generell für die Verbreitung von Malware benutzt werden können, stellten Forscher des Unternehmens aus Redmond fest, dass in dem Fall die Schadsoftware nicht über Torrent-Downloads verbreitet wurde, sondern über den Prozess „mediaget.exe“.

Den Malware-Angriff an sich bezeichneten die Forscher als „sorgfältig geplant“. Schon zwei Wochen vorher hätten die unbekannten Täter die manipulierte Installationsdatei auf dem Server des russischen Entwicklers von MediaGet abgelegt. Die signierte „mediaget.exe“ vom offiziellen Update-Server lade die ebenfalls signierte Datei „update.exe“ herunter, die wiederum eine neue, nicht signierte „mediate.exe“ installiere, die wie die Original-Datei funktioniere und zusätzlich über eine Backdoor verfüge.

Die Forscher vermuten, dass die update.exe mit einem gestohlenen Zertifikat signiert wurde, da die legitime mediaget.exe eine signierte Datei update.exe voraussetze. Die gefälschte Datei mediate.exe sei zudem zu 98 Prozent identisch mit der legitimen MediaGet-Datei. Um einer Erkennung durch Sicherheitsanwendungen zu entgehen, schleuse sie ihren Schadcode in die legitime Explorer.exe ein.

Der Trojaner Dofoil, der auch als Smoke Loader bekannt ist, kann unterschiedliche Schadprogramme ausliefern. Im von Microsoft untersuchten Fall installierte er einen Krypto-Miner für die Electroneum-Währung. Der Ausbruch begann demnach am 6. März. Die mehr als 400.000 infizierten Rechner entdeckte Microsofts Sicherheitsanwendungen Defender in einem Zeitraum von rund 12 Stunden. Microsoft weist darauf hin, dass Dofoil nicht nur für die Verbreitung des vergleichsweise harmlosen Krypto-Miners benutzt werden kann, sondern auch zum Einschleusen von Ransomware.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago