Il team di ricerca di Avast
ha iniziato a rilevare venerdì 21 agosto 2020, falsi file di installazione di Malwarebytes contenenti una backdoor che carica il miner Monero. Il file più diffuso con cui viene distribuito uno dei file di installazione è "MBSetup2.exe".
Avast ha protetto quasi 100.000 utenti dai falsi file di installazione, che si stanno diffondendo principalmente in Russia, Ucraina ed Europa orientale. Al momento, non è possibile sapere dove o come vengono distribuiti i falsi file di installazione, ma è possibile confermare che non vengono distribuiti tramite i canali ufficiali di Malwarebytes, che rimangono fonti attendibili. I criminali informatici dietro questa campagna hanno riconfezionato il programma di installazione di Malwarebytes in modo che contenga un payload dannoso.
Il falso file di installazione, MBSetup2.exe, non è firmato e contiene file dll (dynamic link library) dannosi denominati Qt5Help.dll e Qt5WinExtras.dll, con firme digitali non valide. Tutti gli altri file eseguibili portatili (PE) contenuti nel programma di installazione sono firmati con Malwarebytes o certificati Microsoft validi. Dopo aver eseguito uno dei falsi programmi di installazione di Malwarebytes, viene visualizzata una falsa procedura guidata. Il malware installa un programma fake di Malwarebytes in "% ProgramFiles (x86)% Malwarebytes" e nasconde la maggior parte del payload dannoso all'interno di una delle due dll, Qt5Help.dll.
Il
malware notifica alle vittime che Malwarebytes è stato installato con successo, il che non è vero, poiché il programma non può essere aperto. Il malware si installa quindi come servizio chiamato "MBAMSvc" e procede al download di un ulteriore payload dannoso, che attualmente è un miner di criptovaluta Monero chiamato Bitminer, basato su XMRig. La procedura guidata di installazione si basa sul popolare strumento Inno Setup che lo rende diverso dall'attuale programma di installazione di Malwarebytes.
Gli utenti possono
verificare se sono stati infettati cercando uno dei seguenti file sul loro PC:
- %ProgramData%VMwareVMware Toolsvmtoolsd.exe
- %ProgramData%VMwareVMware Toolsvmmem.exe
- %ProgramData%VMwareVMware Toolsvm3dservice.exe
- %ProgramData%VMwareVMware Toolsvmwarehostopen.exe
Se uno di questi file è presente, tutti i file in "% ProgramFiles (x86)% Malwarebytes" e gli eseguibili in "% ProgramData% VMware VMware Tools " dovrebbero essere eliminati e, se possibile, va rimosso il servizio "MBAMSvc". Avast rileva e mette in quarantena il programma di installazione e i file dll, rendendo il servizio MBAMSvc benigno. MBAMSvc può essere rimosso aprendo un prompt dei comandi con privilegi elevati ed eseguendo il comando "sc.exe elimina MBAMSvc".
Gli utenti che hanno installato anche il vero software Malwarebytes dovrebbero fare attenzione quando rimuovono questi file, poiché anche il programma Malwarebytes effettivo si installa in% ProgramFiles% Malwarebytes. Per sicurezza, gli utenti possono rimuovere tutti i file in questa cartella e reinstallare Malwarebytes direttamente dal sito web ufficiale.
Avast ha notificato a Malwarebytes i falsi file di installazione in circolazione.Per verificare gli indicatori di compromissione ed avere ulteriori informazioni sull’argomento è possibile accedere al link
https://blog.futuretime.eu/2020/08/falsi-file-di-installazione-di-malwarebytes-che-distribuiscono-coinminer/.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
BitCity.it iscriviti alla nostra
Newsletter gratuita.
