image

Automatische update voor torrent-client en adblockers bevat backdoor

woensdag 14 oktober 2020, 14:13 door Redactie, 2 reacties

Een onbekende aanvaller heeft geprobeerd om gebruikers van een populaire torrent-client en drie adblockers via een automatische update van de programma's met malware te infecteren. Dat ontdekten onderzoekers van antivirusbedrijf Avast. Het gaat om de torrent-client Download Studio, die met name in Rusland en de Oekraïne populair is, en de adblockers NetShield Kit, My AdBlock en Net AdBlock.

De vier programma's ontvingen via een automatische update een aangepaste versie van het antimalwareprogramma Malwarebytes, die stilletjes op het systeem werd geïnstalleerd. De aanvaller had twee dll-bestanden aan de installatie toegevoegd, waarvan één een backdoor was. De dll-bestanden werden bij het starten van Malwarebytes automatisch geladen.

Via de backdoor kon de aanvaller met besmette machines communiceren en die opdrachten geven. Zo werden de besmette machines gebruikt voor het delven van cryptovaluta. Avast detecteerde de malware op meer dan honderdduizend systemen. Het werkelijke aantal slachtoffers ligt mogelijk veel hoger, aangezien het genoemde aantal alleen gebruikers betreft die Avast hadden geïnstalleerd.

De onderzoekers benaderden de ontwikkelaars van Download Studio. Die beweerden dat ze in augustus met een beveiligingsincident te maken hadden gekregen en maatregelen hadden genomen. Verdere details, zoals het aantal getroffen gebruikers en of die zijn ingelicht, werden niet gegeven. De drie adblockers zijn zeer waarschijnlijk van hetzelfde team afkomstig dat Download Studio ontwikkelde.

Het ip-adres waarop de adblockers worden gehost bleek ook verschillende "coinminers" te bevatten, die erg veel leken op de coinminer die via de backdoor werd verspreid. De onderzoekers schetsen dan ook drie scenario's. De ontwikkelaars van Download Studio probeerden hun gebruikers te "verzilveren". Overeenkomsten tussen de code van Download Studio en de backdoor lijken dit te suggereren. Daarnaast kan het zijn dat een groep kwaadwillende medewerkers zonder medeweten van het bedrijf dit heeft gedaan of dat een aanvaller toegang tot de updateservers heeft gekregen.

Reacties (2)
14-10-2020, 15:36 door spatieman
ik gebruik een oeroude utorrent client, geen geF* met backdoors, spyware etc.
tot ik uit stommigheid voor 3 jaar terug de client deed updated.
heb het geweten, kon de machine opnieuw installeren , bomvol met addware en andere rotzooi die ik er niet uit kreeg.

ok jaren lang azure gebruikt, wel, de nieuwe azure client, heet nu anders, is een en al addware,spyware en andere shitzooi.
14-10-2020, 16:34 door Anoniem
Door spatieman: ik gebruik een oeroude utorrent client, geen geF* met backdoors, spyware etc.
tot ik uit stommigheid voor 3 jaar terug de client deed updated.
heb het geweten, kon de machine opnieuw installeren , bomvol met addware en andere rotzooi die ik er niet uit kreeg.

ok jaren lang azure gebruikt, wel, de nieuwe azure client, heet nu anders, is een en al addware,spyware en andere shitzooi.

deluge :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.