Анализ угроз

Обнаружена поддельная версия Malwarebytes, заражающая скрытым майнером

Threat Intelligence Team, 25 августа 2020

Вредоносная версия антивирусного сканера Malwarebytes скрытно устанавливает майнер криптовалюты Monero. Основная волна атак пришлась на Россию и Украину.

В конце прошлой недели мы начали фиксировать распространение поддельных установочных файлов популярного антивирусного сканера Malwarebytes, которые содержали бэкдор. Данный бэкдор загружал на компьютеры майнер криптовалюты Monero, популярной среди хакеров.

Майнер — это сторонняя программа, которая устанавливается на компьютер и «добывает» криптовалюту, используя ресурсы устройства. Скрытые майнеры делают это незаметно от пользователя, принося заработок киберпреступникам.

Наиболее распространенное имя обнаруженного нами вредоносного файла — "MBSetup2.exe". Антивирусные решения Avast защитили уже около 100 000 пользователей от данной угрозы. Большее количество попыток атак пришлось на Россию, Украину и страны Восточной Европы.

Пока мы не выявили источник распространения вируса, но можем подтвердить, что он не размещался на официальных каналах Malwarebytes, которые остаются надежными источниками загрузки.

Поддельный установочный файл MBSetup2.exe — это неподписанный файл, в который внесли вредоносные файлы Qt5Help.dll и Qt5WinExtras.dll с недействительными цифровыми подписями. Все остальные переносимые исполняемые файлы, содержащиеся в установщике, подписаны действительными сертификатами Malwarebytes или Microsoft.

Авторы этого загрузчика могут в любой момент изменить его содержимое, тем самым распространив и другие вредоносные программы на зараженные устройства.

Что происходит при запуске фейкового установщика

После запуска файла появляется мастер инсталляции поддельного установщика Malwarebytes. Вредоносная программа устанавливает поддельный Malwarebytes в папку %ProgramFiles(x86)%\Malwarebytes и скрывает большую часть вредоносной полезной нагрузки внутри одной из двух DLL-файлов — Qt5Help.dll. После инсталлятор уведомляет жертв о якобы успешной установке Malwarebytes.

Далее вредоносное ПО устанавливается как служба под названием "MBAMSvc" и загружает майнер криптовалюты Monero под названием Bitminer, который работает на основе другого майнера — XMRig.

Мастер установки создан помощью системы Inno Setup. Он отличается от оригинального установщика Malwarebytes.

Z3isvFxDKmkZMlFwgeUzFS7qWr8ZZyOe66-jqz2vngzDBDuA4Oi1qRqV9S7BAQqWFf5ygCAUglDl1HLG4ByNe6NhFdaiNjXT9fp_uNor98RGJC4cOjRkc9ff0KHRzFhIZuODHUdS

Окно инсталляции поддельного файла

T31pmjnWm8xRXqVrqdLIw4DcZPd_nkqjxdwvSnC5cPHL01GiZJKbMuXfPvMRXT734MYzidFvP3pyqilI5EZPcfOE3AbRqKDvlQTUL2gl-QEGqZsQmiUosQJ58SwC6G6sOrpxHTcQ

Окно инсталляции оригинальной программы

Как проверить, не заражен ли вам компьютер 

В случае, если вы недавно устанавливали программы от Malwarebytes, вы можете убедиться в их безопасности, выполнив поиск одного из следующих файлов на своем устройстве:

  • %ProgramData%\VMware\VMware Tools\vmtoolsd.exe
  • %ProgramData%\VMware\VMware Tools\vmmem.exe
  • %ProgramData%\VMware\VMware Tools\vm3dservice.exe
  • %ProgramData%\VMware\VMware Tools\vmwarehostopen.exe

Если какой-либо из этих файлов присутствует, все файлы в папке %ProgramFiles (x86)%\Malwarebytes и исполняемые файлы в папке %ProgramData%\VMware\VMware Tools\ должны быть удалены.

Также рекомендуется удалить и службу MBAMSvc. Антивирус Avast обнаруживает и помещает в карантин вредоносные установочный и DLL-файлы, делая службу MBAMSvc безопасной. Ее можно удалить, открыв командную строку с правами администратора и выполнив команду "sc.exe удалить MBAMSvc".

Пользователи, у которых также установлено оригинальное программное обеспечение от Malwarebytes, должны быть осторожны при удалении этих файлов, поскольку оригинал также устанавливается в папку %ProgramFiles%\Malwarebytes. Чтобы подстраховаться, пользователи могут удалить все файлы в этой папке и переустановить Malwarebytes, скачав установочный файл с их официального сайта. 

Мы уведомили компанию Malwarebytes о распространении поддельных установочных файлов их программы. Ознакомиться с хешем вредоносных файлов вы можете по данной ссылке.

Следите за нашими новостями в социальных сетях ВКонтактеОдноклассникиFacebook и Twitter