Анализ угроз

Обнаружена поддельная версия Malwarebytes, заражающая скрытым майнером

Threat Intelligence Team, 25 августа 2020 г. 14:42:19 CEST
Threat Intelligence Team, 25 августа 2020 г. 14:42:19 CEST

Вредоносная версия антивирусного сканера Malwarebytes скрытно устанавливает майнер криптовалюты Monero. Основная волна атак пришлась на Россию и Украину.

В конце прошлой недели мы начали фиксировать распространение поддельных установочных файлов популярного антивирусного сканера Malwarebytes, которые содержали бэкдор. Данный бэкдор загружал на компьютеры майнер криптовалюты Monero, популярной среди хакеров.

Майнер — это сторонняя программа, которая устанавливается на компьютер и «добывает» криптовалюту, используя ресурсы устройства. Скрытые майнеры делают это незаметно от пользователя, принося заработок киберпреступникам.

Наиболее распространенное имя обнаруженного нами вредоносного файла — "MBSetup2.exe". Антивирусные решения Avast защитили уже около 100 000 пользователей от данной угрозы. Большее количество попыток атак пришлось на Россию, Украину и страны Восточной Европы.

Пока мы не выявили источник распространения вируса, но можем подтвердить, что он не размещался на официальных каналах Malwarebytes, которые остаются надежными источниками загрузки.

Поддельный установочный файл MBSetup2.exe — это неподписанный файл, в который внесли вредоносные файлы Qt5Help.dll и Qt5WinExtras.dll с недействительными цифровыми подписями. Все остальные переносимые исполняемые файлы, содержащиеся в установщике, подписаны действительными сертификатами Malwarebytes или Microsoft.

Авторы этого загрузчика могут в любой момент изменить его содержимое, тем самым распространив и другие вредоносные программы на зараженные устройства.

Что происходит при запуске фейкового установщика

После запуска файла появляется мастер инсталляции поддельного установщика Malwarebytes. Вредоносная программа устанавливает поддельный Malwarebytes в папку %ProgramFiles(x86)%\Malwarebytes и скрывает большую часть вредоносной полезной нагрузки внутри одной из двух DLL-файлов — Qt5Help.dll. После инсталлятор уведомляет жертв о якобы успешной установке Malwarebytes.

Далее вредоносное ПО устанавливается как служба под названием "MBAMSvc" и загружает майнер криптовалюты Monero под названием Bitminer, который работает на основе другого майнера — XMRig.

Мастер установки создан помощью системы Inno Setup. Он отличается от оригинального установщика Malwarebytes.

Z3isvFxDKmkZMlFwgeUzFS7qWr8ZZyOe66-jqz2vngzDBDuA4Oi1qRqV9S7BAQqWFf5ygCAUglDl1HLG4ByNe6NhFdaiNjXT9fp_uNor98RGJC4cOjRkc9ff0KHRzFhIZuODHUdS

Окно инсталляции поддельного файла

T31pmjnWm8xRXqVrqdLIw4DcZPd_nkqjxdwvSnC5cPHL01GiZJKbMuXfPvMRXT734MYzidFvP3pyqilI5EZPcfOE3AbRqKDvlQTUL2gl-QEGqZsQmiUosQJ58SwC6G6sOrpxHTcQ

Окно инсталляции оригинальной программы

Как проверить, не заражен ли вам компьютер 

В случае, если вы недавно устанавливали программы от Malwarebytes, вы можете убедиться в их безопасности, выполнив поиск одного из следующих файлов на своем устройстве:

  • %ProgramData%\VMware\VMware Tools\vmtoolsd.exe
  • %ProgramData%\VMware\VMware Tools\vmmem.exe
  • %ProgramData%\VMware\VMware Tools\vm3dservice.exe
  • %ProgramData%\VMware\VMware Tools\vmwarehostopen.exe

Если какой-либо из этих файлов присутствует, все файлы в папке %ProgramFiles (x86)%\Malwarebytes и исполняемые файлы в папке %ProgramData%\VMware\VMware Tools\ должны быть удалены.

Также рекомендуется удалить и службу MBAMSvc. Антивирус Avast обнаруживает и помещает в карантин вредоносные установочный и DLL-файлы, делая службу MBAMSvc безопасной. Ее можно удалить, открыв командную строку с правами администратора и выполнив команду "sc.exe удалить MBAMSvc".

Пользователи, у которых также установлено оригинальное программное обеспечение от Malwarebytes, должны быть осторожны при удалении этих файлов, поскольку оригинал также устанавливается в папку %ProgramFiles%\Malwarebytes. Чтобы подстраховаться, пользователи могут удалить все файлы в этой папке и переустановить Malwarebytes, скачав установочный файл с их официального сайта. 

Мы уведомили компанию Malwarebytes о распространении поддельных установочных файлов их программы. Ознакомиться с хешем вредоносных файлов вы можете по данной ссылке.

Следите за нашими новостями в социальных сетях ВКонтактеОдноклассникиFacebook и Twitter