微软披露 Dofoil 感染40万用户的更多详情

在12小时内就感染40多万台计算机的大规模恶意软件活动由俄罗斯 BitTorrent 客户端 MediaGet 后门引发。

上周，微软 Windows Defender 团队曾发现并阻止了一起在短短12小时内就通过 Dofoil (Smoke Loader) 感染40多万台俄罗斯和土耳其等国计算机的大规模恶意软件活动。微软发布了一份详细报告，说明了该恶意软件如何操作，并揭示了Dofoil 随后将尝试下载并安装门罗币挖矿机。

当时，微软由于并非百分百肯定，因此并未披露 Dofoil 是如何黑进用户计算机的。目前该公司公布了更多详情，而 Windows Defender 团队指出，Dofoil 恶意软件是通过由 MediaGet BitTorrent 客户端二进制 mediaget.exe 创建的文件名为 “my.dat” 的文件黑进用户计算机的。

MediaGet 早在2月中旬就已被黑

Windows Defender 团队在新近发布的报告中指出，3月6日发生的 Dofoil 恶意软件感染活动经过周密计划，且可追溯至2月中旬。

微软表示黑客在2月12日至19日期间黑进 MediaGet 的基础设施，设法将官方 MediaGet 安装程序替换为含有后门的程序。

攻击者随后留了2周的窗口期，一篇用户安装或升级至最新的包含后门的 MediaGet 版本。

攻击者在3月1日开始运行首批测试，使用该后门将恶意软件植入用户计算机并在3月6日发动主要攻击，当时他们传播的是 Dofoil 和密币恶意软件组合。

在攻击过程中，攻击者还使用了一个被盗数字证书为遭感染的 MediaGet 更新签名，试图躲避检测。

微软表示已将情况告知证书遭滥用的 MediaGet。目前后者尚未回复黑客如何入侵其网络的请求。

供应链攻击非常有效

上周发生的这起攻击并非黑客首次黑进网站通过恶意软件感染BitTorrent客户端。此前，黑客曾两次黑掉 Transmission BitTorrent 客户端。一次是传播 KeRanger 勒索软件，随后是传播 Keydnap 信息窃取恶意软件。这两起事件均针对 Mac 用户。

过去攻击者还黑掉其它软件发行网站，目的是将恶意软件插入可下载的文件中。其它事件包括 phpBB、Elmedia 播放器、HandBrake 和 Linux Mint。

当然，最引人注目的供应链攻击仍然是 NotPetya 勒索软件攻击，它通过一家乌克兰会计软件计划 M.E.Doc 遭污染的更新来实施攻击。