Вредоносная версия антивирусного сканера Malwarebytes скрытно устанавливает майнер криптовалюты Monero. Основная волна атак пришлась на Россию и Украину.
В конце прошлой недели мы начали фиксировать распространение поддельных установочных файлов популярного антивирусного сканера Malwarebytes, которые содержали бэкдор. Данный бэкдор загружал на компьютеры майнер криптовалюты Monero, популярной среди хакеров.
Майнер — это сторонняя программа, которая устанавливается на компьютер и «добывает» криптовалюту, используя ресурсы устройства. Скрытые майнеры делают это незаметно от пользователя, принося заработок киберпреступникам.
Наиболее распространенное имя обнаруженного нами вредоносного файла — "MBSetup2.exe". Антивирусные решения Avast защитили уже около 100 000 пользователей от данной угрозы. Большее количество попыток атак пришлось на Россию, Украину и страны Восточной Европы.
Пока мы не выявили источник распространения вируса, но можем подтвердить, что он не размещался на официальных каналах Malwarebytes, которые остаются надежными источниками загрузки.
Поддельный установочный файл MBSetup2.exe — это неподписанный файл, в который внесли вредоносные файлы Qt5Help.dll и Qt5WinExtras.dll с недействительными цифровыми подписями. Все остальные переносимые исполняемые файлы, содержащиеся в установщике, подписаны действительными сертификатами Malwarebytes или Microsoft.
Авторы этого загрузчика могут в любой момент изменить его содержимое, тем самым распространив и другие вредоносные программы на зараженные устройства.
После запуска файла появляется мастер инсталляции поддельного установщика Malwarebytes. Вредоносная программа устанавливает поддельный Malwarebytes в папку %ProgramFiles(x86)%\Malwarebytes и скрывает большую часть вредоносной полезной нагрузки внутри одной из двух DLL-файлов — Qt5Help.dll. После инсталлятор уведомляет жертв о якобы успешной установке Malwarebytes.
Далее вредоносное ПО устанавливается как служба под названием "MBAMSvc" и загружает майнер криптовалюты Monero под названием Bitminer, который работает на основе другого майнера — XMRig.
Мастер установки создан помощью системы Inno Setup. Он отличается от оригинального установщика Malwarebytes.
Окно инсталляции поддельного файла
В случае, если вы недавно устанавливали программы от Malwarebytes, вы можете убедиться в их безопасности, выполнив поиск одного из следующих файлов на своем устройстве:
Если какой-либо из этих файлов присутствует, все файлы в папке %ProgramFiles (x86)%\Malwarebytes и исполняемые файлы в папке %ProgramData%\VMware\VMware Tools\ должны быть удалены.
Также рекомендуется удалить и службу MBAMSvc. Антивирус Avast обнаруживает и помещает в карантин вредоносные установочный и DLL-файлы, делая службу MBAMSvc безопасной. Ее можно удалить, открыв командную строку с правами администратора и выполнив команду "sc.exe удалить MBAMSvc".
Пользователи, у которых также установлено оригинальное программное обеспечение от Malwarebytes, должны быть осторожны при удалении этих файлов, поскольку оригинал также устанавливается в папку %ProgramFiles%\Malwarebytes. Чтобы подстраховаться, пользователи могут удалить все файлы в этой папке и переустановить Malwarebytes, скачав установочный файл с их официального сайта.
Мы уведомили компанию Malwarebytes о распространении поддельных установочных файлов их программы. Ознакомиться с хешем вредоносных файлов вы можете по данной ссылке.
Следите за нашими новостями в социальных сетях ВКонтакте, Одноклассники, Facebook и Twitter.
1988 - 2024 Copyright © Avast Software s.r.o. | Sitemap Политика конфиденциальности
