MediaGet: Bittorrent-Client infiziert 400.000 Rechner

Eine trojanisierte Version des Bittorrent-Clients Mediaget war wochenlang unerkannt im Umlauf und hat mehr als 400.000 Rechner infiziert.

mediaget

Sicherheitsforscher von Microsoft informieren darüber, dass der BitTorrent-Client MediaGet nun bereits seit mehreren Wochen als infizierter Download in Umlauf sei. Cyberkriminelle haben Mediaget mit einer Backdoor versehen, durch die der Trojaner Dofoil den Computer infiziert. Dessen Aufgabe besteht darin, den Cryptojacker Coinminer herunterladen, der die gekarperten Rechenressourcen für die Angreifer zum Schürfen der Krypto-Währung Electroneum nutzt. Die Anwendung des Bittorrent-Client soll dabei allerdings wie gewohnt funktionieren.

BitTorrent Client MediaGet inklusive Trojaner

Den Sicherheitsforschern zufolge haben sich bereits 400.000 Windows-Nutzer die trojanisierte Version von MediaGet installiert, während Dofoil schon fast eine halbe Million Rechner befallen hat. Da die Rechnerleistung für das Minen gebraucht wird, reagieren betroffene Rechner beträchtlich langsamer. Das wäre ein Indiz dafür, dass der eigene Rechner nach einer Mediaget-Installation infiziert sein könnte.


Der Trojaner soll sich seinen Weg auf die heimischen PCs über eine manipulierte Update-Kampagne gebahnt haben, wobei die Update.exe von MediaGet mit einem gestohlenen Zertifikat signiert gewesen sein soll. Dieses stammt nicht vom Hersteller selbst. Darauf weisen die zahlreichen Opfer hin. Es sei davon auszugehen, dass die Hacker die offizielle Update-Routine innerhalb der IT-Infrastruktur der MediaGet-Entwickler kompromittiert haben. Nach Informationen der Sicherheitsforscher hat die Datei bereits unmittelbar nach dem Start des Updates eine unsignierte Programm-Version mit Backdoor auf den Computer gespielt. Diese hat dann Informationen mit den Command-and-Control-Servern der Angreifer ausgetauscht und den Krypto-Miner installiert.

Schadsoftware mit Krypto-Miner inklusive

Bisher haben sich laut Veröffentlichung von Microsoft zufolge weder die Entwickler des manipulierte Clients noch die Firma des Zertifikats zu der Angelegenheit geäußert. Es ist unklar, ob sich die trojanisierte Version von MediaGet derzeit noch im Umlauf befindet. Wahrscheinlich haben schon zahlreiche Nutzer von der Warnung vor der verseuchten Version von MediaGet gehört und ihn gelöscht.

Bildquelle: sandra_schoen, thx! (CC0 1.0 Public Domain)

Tarnkappe.info

Ich bin bereits seit Januar 2016 Tarnkappen-Autor. Eingestiegen bin ich zunächst mit Buch-Rezensionen. Inzwischen schreibe ich bevorzugt über juristische Themen, wie P2P-Fälle, greife aber auch andere Netzthemen, wie Cybercrime, auf. Meine Interessen beziehen sich hauptsächlich auf Literatur.