MediaGet: cliente de torrent infectado por un malware para minar criptomonedas

En concreto, hablamos de MediaGet. Este programa fue lanzado en 2010, y tiene origen en Rusia. Aunque inicialmente sólo estaba disponible en ruso, en los años siguientes el programa empezó a estar disponible en todo el mundo gracias a ser traducido a idiomas como inglés o español.

Aunque no es de los más utilizados, hasta la fecha si que cuenta con millones de descargas e instalaciones en los últimos años. Sin embargo, Microsoft detectó un comportamiento extraño en el programa a través de Windows Defender. El equipo de investigación del antivirus de la compañía detectó una versión infectada del cliente que hacía uso de la botnet Dofoil, cuyo objetivo es descargar cientos de miles de scripts de minado.

Microsoft Defender detectó este comportamiento al instante y lo bloqueó, pero los investigadores decidieron indagar más sobre el asunto. Al parecer, el sistema de actualización del programa había sido infectado, y como se ve en el siguiente diagrama, el update.exe podía descargar una versión modificada que contenía el malware, pero que mantenía la misma funcionalidad que el programa original.

script-minado-criptomonades-mediaget-01

Cuando arrancaba, el cliente creaba un listado de servidores de C&C (command-and-control) para controlarlo de manera remota, además de usar DNS descentralizadas de NameCoin con dominios no aprobados por el ICANN acabados en .bit. Esto hacía que esos dominios fueran mucho más difíciles de cerrar y bloquear como se suele hacer con los servidores de control de este tipo de malware.

El problema ya está solucionado: descarga la última versión

Según afirma MediaGet, los atacantes consiguieron infectar el servidor que descargaba las actualizaciones del programa, y mediante un exploit en el servicio Zabbix consiguieron integrarse en el sistema para introducir su versión modificada del programa.

En total, la compañía estima que en torno al 5% de los usuarios del programa estuvieron afectados por este problema, y ya se ha alertado a todos para que actualicen lo antes posible a la última versión legítima del programa, la cual se puede descargar en la web oficial. El problema ya está totalmente resuelto por la compañía, y están trabajando con Microsoft para monitorizar posibles copias del programa que estén circulando por la red o que se encuentren todavía en los ordenadores de los usuarios.

Si usabais el programa y no os fiais de seguir utilizándolo podéis optar por alguna de las alternativas que recopilamos hace poco sobre los mejores clientes para descargar torrent en 2018.

 

Fuente: TorrentFreak | adslzone