• Home
  • Chi siamo
  • Il nostro sito web
Future Time Security blog
Menu
  • Home
  • Chi siamo
  • Il nostro sito web
Home  /  Sicurezza  /  Falsi file di installazione di Malwarebytes che distribuiscono coinminer

Falsi file di installazione di Malwarebytes che distribuiscono coinminer

Il coinminer Monero basato su XMRig infetta i PC tramite il download di software illegittimi.

Venerdì 21 agosto 2020, abbiamo iniziato a rilevare falsi file di installazione di Malwarebytes contenenti una backdoor che carica sui PC infetti un miner Monero basato su XMRig. Il nome file più diffuso con cui viene distribuito il falso programma di installazione è “MBSetup2.exe”.

Avast ha protetto quasi 100.000 utenti Avast e AVG dai falsi file di installazione, che si stanno diffondendo principalmente in Russia, Ucraina ed Europa orientale. Al momento, non sappiamo dove o come viene distribuito il falso file di installazione, ma possiamo confermare che i programmi di installazione non vengono distribuiti tramite i canali ufficiali di Malwarebytes, che rimangono fonti attendibili da cui prelevare l’applicazione.

I cybercriminali autori di questo attacco hanno modificato il programma di installazione di Malwarebytes per includere una payload dannosa. Il falso file di installazione, MBSetup2.exe, è un file non firmato che contiene file dll dannosi denominati Qt5Help.dll e Qt5WinExtras.dll con firme digitali non valide. Tutti gli altri file eseguibili portatili (PE) contenuti nel programma di installazione sono firmati da Malwarebytes o con certificati Microsoft validi.

La persona o le persone dietro a questa operazione possono modificare la payload dannosa in qualsiasi momento, distribuendo altri programmi pericolosi sui PC infetti.

Cosa succede quando viene eseguito il falso programma di installazione?

Dopo aver eseguito uno di questi programmi di installazione pericolosi di Malwarebytes, viene visualizzata una falsa procedura guidata di installazione dello stesso strumento antimalware. A questo punto il malware installa un falso programma Malwarebytes in “% ProgramFiles (x86)% \ Malwarebytes” e nasconde la maggior parte della payload dannosa all’interno di una delle due dll, Qt5Help.dll. Il malware notifica alle vittime che Malwarebytes è stato installato con successo, il che non è vero, poiché il programma non può essere aperto.

Il malware si installa quindi come servizio chiamato “MBAMSvc” e procede al download di un’ulteriore payload dannosa, che attualmente è un miner di criptovaluta chiamato Bitminer, per l’estrazione di Monero, basato su XMRig.

La procedura guidata di installazione si basa sul popolare strumento Inno Setup che lo rende diverso dall’attuale setup di Malwarebytes, come si può vedere negli screenshot riportati di seguito.

Schermata di configurazione della falsa installazione

 

Schermata di configurazione dell’installazione del vero Malwarebytes

 

Come verificare se il PC è stato infettato?

Gli utenti interessati possono verificare se sono stati infettati cercando uno dei seguenti file sul proprio PC:

% ProgramData% \ VMware \ VMware Tools \ vmtoolsd.exe

% ProgramData% \ VMware \ VMware Tools \ vmmem.exe

% ProgramData% \ VMware \ VMware Tools \ vm3dservice.exe

% ProgramData% \ VMware \ VMware Tools \ vmwarehostopen.exe

Se uno di questi file è presente, tutti i file in “% ProgramFiles (x86)% \ Malwarebytes” e gli eseguibili in “% ProgramData% \ VMware \ VMware Tools \” dovrebbero essere eliminati e, se possibile, occorrerà rimuovere il servizio “MBAMSvc”. Avast rileva e mette in quarantena il programma di installazione e i file dll, rendendo il servizio MBAMSvc ormai pulito e libero da codice dannoso. MBAMSvc può essere rimosso aprendo un prompt dei comandi con privilegi di amministratore ed eseguendo il comando “sc.exe delete MBAMSvc”

Gli utenti che hanno installato anche il vero software Malwarebytes dovrebbero fare attenzione quando rimuovono questi file, poiché anche il legittimo programma Malwarebytes si installa in% ProgramFiles% \ Malwarebytes. Per sicurezza, gli utenti possono rimuovere tutti i file in questa cartella e reinstallare Malwarebytes scaricandolo direttamente dal sito web originale dell’applicazione.

Avast ha segnalato a Malwarebytes la presenza di sulla rete dei falsi programmi di installazione.

Indicatori di compromissione:

Programmi di installazione (hash SHA-256):

dfb1a78be311216cd0aa5cb78759875cd7a2eeb5cc04a8abc38ba340145f72b9

f2caa14fd11685ba28068ea79e58bf0b140379b65921896e227a0c7db30a0f2c

6c8f6d6744e1353a5ed61a6df2be633637e288a511ba082b0a49aea3e96d295a

5c3b72ca262814869e6551e33940dc122e22a48b4f0b831dbe11f85f4b48a330

3ee609ef1c07d774b9fbf7f0f7743c8e7e5ba115162336f0e6e7482b4a72f412

Domini C&C:

dl.bytestech [.] dev

dl.cloudnetbytes [.] com

apis.masterbyte [.] nl

apis.mbytestech [.] com

apis.bytestech [.] dev

Miner di criptovaluta (hash SHA-256):

c6a8623e74f5aad94d899770b4a2ac5ef111e557661e09e62efc1d9a3eb1201c

fea67139bc724688d55e6a2fde8ff037b4bd24a5f2d2eb2ac822096a9c214ede

b3755d85548cefc4f641dfb6af4ccc4b3586a9af0ade33cc4e646af15b4390e7

7f7b6939ae77c40aa2d95f5bf1e6a0c5e68287cafcb3efb16932f88292301a4d

c90899fcaab784f98981ce988ac73a72b0b1dbceb7824f72b8218cb5783c6791

61b194c80b6c2d2c97920cd46dd62ced48a419a09179bae7de3a9cfa4305a830

Miner di criptovaluta (percorsi nel file system):

% ProgramData% \ VMware \ VMware Tools \ vmtoolsd.exe

% ProgramData% \ VMware \ VMware Tools \ vmmem.exe

% ProgramData% \ VMware \ VMware Tools \ vm3dservice.exe

% ProgramData% \ VMware \ VMware Tools \ vmwarehostopen.exe

Condividi su
Condividi su Facebook
Condividi su Twitter
 Articolo precedente Gli attacchi “Mailto” potrebbero rubare file
Articolo successivo   DoppelPaymer: Il nuovo ransomware che si diffonde attraverso un’innovativa tecnica di distribuzione

Articoli Simili

  • Anche il 2021 inizia sotto il segno dei cybercriminali, l’Italia a febbraio è il quarto Paese più colpito dai malware. A gennaio era in quinta posizione

    Aprile 9, 2021
  • La fuga di dati di Facebook: cosa bisognerebbe fare oggi

    Aprile 8, 2021
  • L’ascesa del ransomware come servizio

    Aprile 1, 2021

2 Comments

  1. Pingback: Avast: fake Malwarebytes utilizzato per distribuire CoinMiner
  2. Pingback: Avast: fake Malwarebytes utilizzato per distribuire CoinMiner - LineaEDP

Lascia un commento Annulla risposta

Cerca

Social Media

  • Connect on LinkedIn

Articoli Recenti

  • Anche il 2021 inizia sotto il segno dei cybercriminali, l’Italia a febbraio è il quarto Paese più colpito dai malware. A gennaio era in quinta posizione Aprile 9, 2021
  • La fuga di dati di Facebook: cosa bisognerebbe fare oggi Aprile 8, 2021
  • L’ascesa del ransomware come servizio Aprile 1, 2021
  • Chiavi di registro: come intervenire quando gli strumenti standard non sono sufficienti Marzo 24, 2021

Commenti recenti

  • Cresce il numero degli utenti vittime di truffe online su Avast: crescono in Italia le truffe legate alle offerte sugli smartphone
  • Angolo di Windows su Odix: 5 modi per migliorare la sicurezza della posta
  • Avast: fake Malwarebytes utilizzato per distribuire CoinMiner - LineaEDP su Falsi file di installazione di Malwarebytes che distribuiscono coinminer
  • Avast: fake Malwarebytes utilizzato per distribuire CoinMiner su Falsi file di installazione di Malwarebytes che distribuiscono coinminer
  • Scoperte su Google Play Store 47 app malevole scaricate 15 milioni di volte – Secondamano l'originale su Avast scopre 47 app malevole su Google Play Store, scaricate 15 milioni di volte

Archivi

Categorie

  • Comunicazioni
  • Malware
  • Senza categoria
  • Sicurezza
  • Sicurezza Informatica
  • Suggerimenti tecnici
  • Anche il 2021 inizia sotto il segno dei cybercriminali, l’Italia a febbraio è il quarto Paese più colpito dai malware. A gennaio era in quinta posizione

  • La fuga di dati di Facebook: cosa bisognerebbe fare oggi

  • L’ascesa del ransomware come servizio

  • Chiavi di registro: come intervenire quando gli strumenti standard non sono sufficienti

  • Cybersecurity 2020: l’Italia è quinta al mondo per attacchi macro malware (prima in Europa), settima per attacchi malware e undicesima per attacchi ransomware

© 2001 - 2020 - Tutti i diritti riservati. I marchi usati nel sito sono registrati da Future Time S.r.l. Tutti gli altri nomi e marchi sono registrati dalle rispettive aziende. Future Time S.r.l. © 2001-2020. P.IVA 06677001007
Questo sito usa i cookie, anche di terze parti, per offrirti una navigazione in linea con le tue preferenze. Per maggiori informazioni puoi accedere alla nostra cookie policy, dove potrai negare il consenso ai cookie, seguendo l'apposito link. Se continui la navigazione sul sito acconsenti all'uso dei cookie.
Ok, accetto Cookie policy
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Sempre abilitato

Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.

Non-necessary

Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.

ACCETTA E SALVA