28 de abril de 2024

Arquivos de instalação falsa do Malwarebytes está distribuindo o coinminer

25 de agosto de 2020

Monero miner baseado em XMRig infecta PCs por meio de downloads ilegítimos de software

Na sexta-feira, 21 de agosto de 2020, começamos a detectar arquivos de instalação falsos do Malwarebytes contendo um backdoor que carrega um minerador Monero baseado em XMRig em PCs infectados. O nome de arquivo mais comum sob o qual um dos arquivos de instalação está sendo distribuído é “MBSetup2.exe”. O Avast protegeu quase 100 mil usuários do Avast e do AVG de arquivos de instalação falsos, que estão se espalhando principalmente na Rússia, Ucrânia e Europa Oriental. No momento, não sabemos onde ou como o arquivo de instalação falso está sendo distribuído, mas podemos confirmar que os arquivos de instalação não estão sendo distribuídos através dos canais oficiais do Malwarebytes, que continuam sendo fontes confiáveis. 

Os cibercriminosos por trás disso reempacotaram o instalador do Malwarebytes para conter uma carga maliciosa. O arquivo de instalação falso, MBSetup2.exe, é um arquivo não assinado que contém arquivos dll maliciosos chamados Qt5Help.dll e Qt5WinExtras.dll com assinaturas digitais inválidas. Todos os outros arquivos executáveis ​​portáteis (PE) compactados dentro do instalador são assinados com certificados Malwarebytes ou Microsoft válidos. 

A pessoa ou pessoas por trás disso podem alterar a carga maliciosa a qualquer momento, distribuindo outros programas maliciosos para PCs infectados. 

O que acontece quando o instalador falso é lançado

Depois de executar um dos falsos instaladores do Malwarebytes, um falso assistente de configuração do Malwarebytes aparece. O malware instala um programa Malwarebytes falso em “% ProgramFiles (x86)% \ Malwarebytes” e oculta a maior parte da carga maliciosa dentro de uma das duas dlls, Qt5Help.dll. O malware notifica as vítimas de que o Malwarebytes foi instalado com sucesso, o que não é verdade, pois o programa não pode ser aberto. 

O malware então se instala como um serviço chamado “MBAMSvc” e começa a baixar uma carga maliciosa adicional, que atualmente é um minerador de criptomoedas chamado Bitminer, um minerador Monero baseado em XMRig.

O assistente de instalação é baseado na popular ferramenta Inno Setup, que o faz parecer diferente do instalador real do Malwarebytes, como pode ser visto nas imagens abaixo.

Tela de configuração de instalação falsa

Tela de configuração de instalação do Real Malwarebytes

Como verificar se o seu PC foi infectado 

Usuários preocupados podem verificar se foram infectados pesquisando um dos seguintes arquivos em seu PC: 

  • % ProgramData% \ VMware \ VMware Tools \ vmtoolsd.exe
  • % ProgramData% \ VMware \ VMware Tools \ vmmem.exe
  • % ProgramData% \ VMware \ VMware Tools \ vm3dservice.exe
  • % ProgramData% \ VMware \ VMware Tools \ vmwarehostopen.exe

Se algum desses arquivos estiver presente, todos os arquivos em “% ProgramFiles (x86)% \ Malwarebytes” e os executáveis ​​em “% ProgramData% \ VMware \ VMware Tools \” devem ser excluídos e, se possível, o serviço “MBAMSvc” pode também ser removido. O Avast detecta e coloca em quarentena o instalador e os arquivos dll, tornando o serviço MBAMSvc benigno. O MBAMSvc pode ser removido abrindo um prompt de comando elevado e executando o comando “sc.exe delete MBAMSvc” 

Os usuários que também possuem o software Malwarebytes real instalado devem ter cuidado ao remover esses arquivos, pois o programa Malwarebytes real também se instala em% ProgramFiles% \ Malwarebytes. Para estar no lado seguro, os usuários podem remover todos os arquivos desta pasta e reinstalar o Malwarebytes diretamente de seu site. 

O Avast notificou o Malwarebytes sobre os arquivos de instalação falsos que estão circulando. 

Indicadores de compromisso :

Instaladores (hashes SHA-256):

dfb1a78be311216cd0aa5cb78759875cd7a2eeb5cc04a8abc38ba340145f72b9

f2caa14fd11685ba28068ea79e58bf0b140379b65921896e227a0c7db30a0f2c

6c8f6d6744e1353a5ed61a6df2be633637e288a511ba082b0a49aea3e96d295a

5c3b72ca262814869e6551e33940dc122e22a48b4f0b831dbe11f85f4b48a330

3ee609ef1c07d774b9fbf7f0f7743c8e7e5ba115162336f0e6e7482b4a72f412

Domínios C&C:

dl.bytestech [.] dev
dl.cloudnetbytes[.]com
apis.masterbyte [.] nl
apis.mbytestech [.] com
apis.bytestech [.] dev

Mineiros de criptomoeda (hashes SHA-256):

c6a8623e74f5aad94d899770b4a2ac5ef111e557661e09e62efc1d9a3eb1201c
fea67139bc724688d55e6a2fde8ff037b4bd24a5f2d2eb2ac822096a9c214ede

B3755d85548cefc4f641dfb6af4ccc4b3586a9af0ade33cc4e646af15b4390e7
7f7b6939ae77c40aa2d95f5bf1e6a0c5e68287cafcb3efb16932f88292301a4d
C90899fcaab784f98981ce988ac73a72b0b1dbceb7824f72b8218cb5783c6791
61b194c80b6c2d2c97920cd46dd62ced48a419a09179bae7de3a9cfa4305a830

Mineiros de criptomoeda (locais do sistema de arquivos):

% ProgramData% \ VMware \ VMware Tools \ vmtoolsd.exe
% ProgramData% \ VMware \ VMware Tools \ vmmem.exe
% ProgramData% \ VMware \ VMware Tools \ vm3dservice.exe
% ProgramData% \ VMware \ VMware Tools \ vmwarehostopen.exe

Fonte: https://blog.avast.com/fake-malwarebytes-installation-files-distributing-coinminer

Tags: ,

Matérias Relacionadas

Comentários do GitHub são usados ​​para enviar malware por meio de repositório da Microsoft

23 de abril de 2024

Malware Androxgh0st compromete servidores em todo o mundo por ataque de botnet

23 de abril de 2024

Ex-engenheiro de segurança condenado a 3 anos de prisão por roubo de criptomoedas no valor de US$ 12,3 milhões

15 de abril de 2024

Veja mais..

Na teia obscura, segredos médicos à venda

26 de abril de 2024

Criminosos colocam a venda bilhões de mensagens privadas de usuários do Discord

24 de abril de 2024

Estudo: Agente GPT-4 pode explorar vulnerabilidades não corrigidas

24 de abril de 2024

Siemens está trabalhando na correção de dispositivos afetados por bug do Firewall de Palo Alto

24 de abril de 2024

Vulnerabilidade de ‘confusão de dependência’ é encontrada no projeto Apache

23 de abril de 2024