La infección masiva de la ultima semana que afecto a medio millón de computadores en pocas horas, fue causado por una versión del cliente Bittorrent llamada MediaGet.
Apodado DoFoil, o también conocido como Smoke Loader, fue el malware de criptominado que fue descubierto en ese medio millón de dispositivos la semana pasada. Este malware tiene como finalidad poder minar Electroneum.
La campaña de dofoil, pego fuertemente en Rusia, Turquía, y Ucrania el 6 de Marzo de este año, y fue descubierto por el departamento de investigación de Microsoft Windows Defender, estos lograron bloquear el ataque antes que hiciera mas daños.
Los investigadores de Seguridad de Windows Defender, cuando ocurrió este evento, no dieron detalles de como había sido esparcido el malware en tan poco tiempo, de hecho el mayor peak de infección ocurrió después en solo 12 horas.
Sin embargo, posterior a la investigación de Microsoft, hoy se revela que los atacantes utilizaron el mecanismo de Update del cliente MediaGet, en el cual insertaron una versión del Software con un troyano incrustado. Los investigadores creen que el método de infección fue muy similar al que se utilizo para vandalizar la aplicación Ccleaner el año pasado.
En este caso, los atacantes firmaron el Update.exe infectado con un certificado digital diferente, haciendo que la validación del proceso de actualización del legitimo MediaGet sea exitoso.
Posterior a la actualización, el bittorrent malicioso posee una funcionalidad de backdoor, y se conecta inmediatamente a uno de los cuatro centros de control y comando. A continuación carga el componente de Coin Miner y comienza a minar las criptomonedas en los PC de las victimas.