Trojanisierte Version des BitTorrent-Clients MediaGet infizierte 400.000 Computer
Unbekannte haben MediaGet mit einer Backdoor ausgestattet, um Windows-Nutzern einen Krypto-Miner zu verpassen.
(Bild: Pixabay)
Der BitTorrent-Client MediaGet war mehrere Wochen in einer manipulierten Version in Umlauf – ob das momentan noch der Fall ist, ist derzeit unklar. Die Anwendung soll wie gewohnt funktionieren, aber eine Backdoor mitbringen, führen Sicherheitsforscher von Microsoft aus. Ihnen zufolge haben sich 400.000 Windows-Nutzer die trojanisierte Version von MediaGet installiert.
Nach der Installation soll der Trojaner Dofoil Computer infizieren. Dieser soll letztlich einen Krypto-Miner namens CoinMiner herunterladen. Diese zieht Rechenleistung ab, um die Kryptowährung Electroneum zu schürfen. Ob der eigene Computer infiziert ist, merkt man daran, dass der Computer aufgrund der in Beschlag genommenen Rechenleistung merklich langsamer reagiert.
Tatvorhergang
Wie genau die unbekannten Hacker die präparierte Version von MediaGet verbreitet haben, ist in dem Bericht von Microsoft nicht eindeutig formuliert. Die Sicherheitsforscher sprechen von einer Verteilung des verseuchten Clients in Form einer manipulierten Update-Kampagne.
Aufgrund der vielen Opfer ist davon auszugehen, dass die Hacker auf irgendeinem Weg die offizielle Update-Routine innerhalb der IT-Infrastruktur der MediaGet-Entwickler kompromittiert haben. Dabei soll unter anderem eine von den Angreifern stammende Update.exe-Datei zum Einsatz gekommen sein. Diese war Microsoft zufolge mit einem geklauten Zertifikat signiert. Das Zertifikat soll aber nicht von MediaGet stammen.
Nach dem Start des Updates soll die Datei die unsignierte MediaGet-Version mit Backdoor auf Computer geholt haben. Diese habe dann Informationen mit den Command-and-Control-Servern der Angreifer ausgetauscht und den Krypo-Miner installiert, erläutern die Sicherheitsforscher.
MediaGet wieder sicher?
Bislang gibt es kein Statement der Entwickler des kompromittierten BitTorrent-Clients zu dem Vorfall. Unklar ist zudem, ob die trojanisierte Version von MediaGet noch im Umlauf ist. Microsoft gibt an, von den Entwicklern und der Firma des involvierten Zertifikates bislang keine Rückmeldung bekommen zu haben. (des)
