Am Freitag, den 21. August 2020 haben wir gefälschte Malwarebytes-Installationsdateien mit Hintertür erkannt, durch die ein XMRig-Monero-Miner auf PCs geladen wird. Ein Monero-Miner ist ein Malware-Typ, welcher Systeme kapert, um dort Kryptowährung zugunsten von Cyberkriminellen zu generieren. Unter den Installationsdateien, die sich aktuell verbreiten, heißt die meist genutzte "MBSetup2.exe". Avast hat fast 100.000 Avast- und AVG-Anwender vor den gefälschten Installationsdateien geschützt, die sich aktuell vor allem in Russland, der Ukraine und Osteuropa verbreiten. Bis jetzt wissen wir noch nicht, über welche Kanäle und wie die gefälschten Installationsdateien verbreitet werden, aber wir können bestätigen, dass sie nicht von offiziellen Malwarebytes-Kanälen kommen. 

Die dahinterstehenden Cyberkriminellen haben das Installationsprogramm von Malwarebytes so umverpackt, dass es eine bösartige Datennutzlast enthält. Die gefälschte Installationsdatei "MBSetup2.exe" ist eine unsignierte Datei, die bösartige dll-Dateien namens "Qt5Help.dll" und "Qt5WinExtras.dll" mit ungültigen digitalen Signaturen enthält. Alle anderen ausführbaren Dateien, die im Installationsprogramm verpackt sind, sind mit gültigen Malwarebytes oder Microsoft-Zertifikaten signiert. Die dahinter steckenden Kriminellen können die Datennutzlast jederzeit ändern und andere bösartige Programme auf die infizierten PCs spielen.

Was passiert, wenn das gefälschte Installationsprogramm gestartet wird? 

Nach der Ausführung eines der gefälschten Malwarebytes-Installationsprogramme erscheint ein gefälschter Malwarebytes-Setup-Assistent. Die Malware installiert ein schädliches Programm in "%ProgramFiles(x86)%\Malwarebytes" und versteckt einen Großteil der bösartigen Nutzlast in der DLL "Qt5Help.dll". Die Malware benachrichtigt die Opfer, dass Malwarebytes erfolgreich installiert wurde. Aber das stimmt nicht, weil das Programm im nächsten Schritt nicht geöffnet werden kann.

Anschließend installiert die Malware einen Dienst namens "MBAMSvc" und lädt eine zusätzliche bösartige Nutzlast herunter, bei der es sich derzeit um einen Kryptowährungs-Miner namens Bitminer handelt. 

Der Installationsassistent basiert auf dem beliebten Inno-Setup-Tool. Durch diesen Unterschied zum eigentlichen Malwarebytes-Installationsassistenten fällt er auf, wie auf den Screenshots unten zu sehen ist. 

Das gefakte Installations-Setup-Fenster

Das echte Malwarebytes Installations-Setup-Fenster

So prüfen Sie, ob Ihr PC infiziert wurde 

Besorgte Anwender können eine etwaige Infizierung überprüfen, indem sie auf ihrem PC nach einer der folgenden Dateien suchen: 

• %ProgramData%\VMware\VMware Tools\vmtoolsd.exe 
• %ProgramData%\VMware\VMware Tools\vmmem.exe 
• %ProgramData%\VMware\VMware Tools\vm3dservice.exe 
• %ProgramData%\VMware\VMware Tools\vmwarehostopen.exe 

Wenn eine dieser Dateien vorhanden ist, sollten alle Dateien unter "%ProgramFiles(x86)%\Malwarebytes" sowie die ausführbaren Dateien unter "%ProgramData%\VMware\VMware Tools\" gelöscht werden. Wenn möglich sollte auch der Dienst "MBAMSvc" entfernt werden. Avast erkennt und isoliert das Installationsprogramm und die dll-Dateien, wodurch der Dienst "MBAMSvc" gutartig wird. MBAMSvc kann entfernt werden, indem via Kommandozeile der Befehl "sc.exe delete MBAMSvc" ausgeführt wird.  

Anwender, die auch die eigentliche Malwarebytes-Software installiert haben, sollten  beim Entfernen dieser Dateien vorsichtig sein, da sich das eigentliche Malwarebytes-Programm ebenfalls in "%ProgramFiles%\Malwarebytes" installiert. Um auf der sicheren Seite zu sein, empfiehlt es sich alle Dateien in diesem Ordner zu entfernen und Malwarebytes direkt von deren Website aus neu installieren. 

Avast hat Malwarebytes über die Verbreitung der gefälschten Installationsdateien informiert. 

Indicators of Compromise 

Installers (SHA-256 hashes): 

dfb1a78be311216cd0aa5cb78759875cd7a2eeb5cc04a8abc38ba340145f72b9 

f2caa14fd11685ba28068ea79e58bf0b140379b65921896e227a0c7db30a0f2c 

6c8f6d6744e1353a5ed61a6df2be633637e288a511ba082b0a49aea3e96d295a 

5c3b72ca262814869e6551e33940dc122e22a48b4f0b831dbe11f85f4b48a330 

3ee609ef1c07d774b9fbf7f0f7743c8e7e5ba115162336f0e6e7482b4a72f412 

C&C Domains: 

dl.bytestech[.]dev 

dl.cloudnetbytes[.]com 

apis.masterbyte[.]nl 

apis.mbytestech[.]com 

apis.bytestech[.]dev 

Cryptocurrency miners (SHA-256 hashes): 

c6a8623e74f5aad94d899770b4a2ac5ef111e557661e09e62efc1d9a3eb1201c 

fea67139bc724688d55e6a2fde8ff037b4bd24a5f2d2eb2ac822096a9c214ede 

b3755d85548cefc4f641dfb6af4ccc4b3586a9af0ade33cc4e646af15b4390e7 

7f7b6939ae77c40aa2d95f5bf1e6a0c5e68287cafcb3efb16932f88292301a4d 

c90899fcaab784f98981ce988ac73a72b0b1dbceb7824f72b8218cb5783c6791 

61b194c80b6c2d2c97920cd46dd62ced48a419a09179bae7de3a9cfa4305a830 

Cryptocurrency miners (filesystem locations): 

%ProgramData%\VMware\VMware Tools\vmtoolsd.exe 

%ProgramData%\VMware\VMware Tools\vmmem.exe 

%ProgramData%\VMware\VMware Tools\vm3dservice.exe 

%ProgramData%\VMware\VMware Tools\vmwarehostopen.exe