Il team di ricerca di Avast, leader globale nella sicurezza e nella privacy digitale, ha iniziato a rilevare venerdì 21 agosto 2020, falsi file di installazione di Malwarebytes contenenti una backdoor che carica il miner Monero. Il file più diffuso con cui viene distribuito uno dei file di installazione è “MBSetup2.exe”.
Avast ha protetto quasi 100.000 utenti dai falsi file di installazione, che si stanno diffondendo principalmente in Russia, Ucraina ed Europa orientale. Al momento, non è possibile sapere dove o come vengono distribuiti i falsi file di installazione, ma è possibile confermare che non vengono distribuiti tramite i canali ufficiali di Malwarebytes, che rimangono fonti attendibili.
I criminali informatici dietro questa campagna hanno riconfezionato il programma di installazione di Malwarebytes in modo che contenga un payload dannoso.
Il falso file di installazione, MBSetup2.exe, non è firmato e contiene file dll (dynamic link library) dannosi denominati Qt5Help.dll e Qt5WinExtras.dll, con firme digitali non valide. Tutti gli altri file eseguibili portatili (PE) contenuti nel programma di installazione sono firmati con Malwarebytes o certificati Microsoft validi.
Cosa succede quando viene lanciato il fake Malwarebytes
Dopo aver eseguito uno dei falsi programmi di installazione di Malwarebytes, viene visualizzata una falsa procedura guidata. Il malware installa un programma fake di Malwarebytes in “% ProgramFiles (x86)% Malwarebytes” e nasconde la maggior parte del payload dannoso all’interno di una delle due dll, Qt5Help.dll.
Il malware notifica alle vittime che Malwarebytes è stato installato con successo, il che non è vero, poiché il programma non può essere aperto.
Il malware si installa quindi come servizio chiamato “MBAMSvc” e procede al download di un ulteriore payload dannoso, che attualmente è un miner di criptovaluta Monero chiamato Bitminer, basato su XMRig.
La procedura guidata di installazione si basa sul popolare strumento Inno Setup che lo rende diverso dall’attuale programma di installazione di Malwarebytes.
Come verificare se si è stati infettati
Gli utenti possono verificare se sono stati infettati cercando uno dei seguenti file sul loro PC:
- %ProgramData%\VMware\VMware Tools\vmtoolsd.exe
- %ProgramData%\VMware\VMware Tools\vmmem.exe
- %ProgramData%\VMware\VMware Tools\vm3dservice.exe
- %ProgramData%\VMware\VMware Tools\vmwarehostopen.exe
Se uno di questi file è presente, tutti i file in “% ProgramFiles (x86)% \ Malwarebytes” e gli eseguibili in “% ProgramData% \ VMware \ VMware Tools \” dovrebbero essere eliminati e, se possibile, va rimosso il servizio “MBAMSvc”.
Avast rileva e mette in quarantena il programma di installazione e i file dll, rendendo il servizio MBAMSvc benigno. MBAMSvc può essere rimosso aprendo un prompt dei comandi con privilegi elevati ed eseguendo il comando “sc.exe elimina MBAMSvc”.
Gli utenti che hanno installato anche il vero software Malwarebytes dovrebbero fare attenzione quando rimuovono questi file, poiché anche il programma Malwarebytes effettivo si installa in% ProgramFiles% Malwarebytes. Per sicurezza, gli utenti possono rimuovere tutti i file in questa cartella e reinstallare Malwarebytes direttamente dal sito web ufficiale.
Avast ha notificato a Malwarebytes i falsi file di installazione in circolazione.
Per verificare gli indicatori di compromissione ed avere ulteriori informazioni sull’argomento è possibile accedere al link https://blog.futuretime.eu/2020/08/falsi-file-di-installazione-di-malwarebytes-che-distribuiscono-coinminer/