Il coinminer Monero basato su XMRig infetta i PC tramite il download di software illegittimi.
Venerdì 21 agosto 2020, abbiamo iniziato a rilevare falsi file di installazione di Malwarebytes contenenti una backdoor che carica sui PC infetti un miner Monero basato su XMRig. Il nome file più diffuso con cui viene distribuito il falso programma di installazione è “MBSetup2.exe”.
Avast ha protetto quasi 100.000 utenti Avast e AVG dai falsi file di installazione, che si stanno diffondendo principalmente in Russia, Ucraina ed Europa orientale. Al momento, non sappiamo dove o come viene distribuito il falso file di installazione, ma possiamo confermare che i programmi di installazione non vengono distribuiti tramite i canali ufficiali di Malwarebytes, che rimangono fonti attendibili da cui prelevare l’applicazione.
I cybercriminali autori di questo attacco hanno modificato il programma di installazione di Malwarebytes per includere una payload dannosa. Il falso file di installazione, MBSetup2.exe, è un file non firmato che contiene file dll dannosi denominati Qt5Help.dll e Qt5WinExtras.dll con firme digitali non valide. Tutti gli altri file eseguibili portatili (PE) contenuti nel programma di installazione sono firmati da Malwarebytes o con certificati Microsoft validi.
La persona o le persone dietro a questa operazione possono modificare la payload dannosa in qualsiasi momento, distribuendo altri programmi pericolosi sui PC infetti.
Cosa succede quando viene eseguito il falso programma di installazione?
Dopo aver eseguito uno di questi programmi di installazione pericolosi di Malwarebytes, viene visualizzata una falsa procedura guidata di installazione dello stesso strumento antimalware. A questo punto il malware installa un falso programma Malwarebytes in “% ProgramFiles (x86)% \ Malwarebytes” e nasconde la maggior parte della payload dannosa all’interno di una delle due dll, Qt5Help.dll. Il malware notifica alle vittime che Malwarebytes è stato installato con successo, il che non è vero, poiché il programma non può essere aperto.
Il malware si installa quindi come servizio chiamato “MBAMSvc” e procede al download di un’ulteriore payload dannosa, che attualmente è un miner di criptovaluta chiamato Bitminer, per l’estrazione di Monero, basato su XMRig.
La procedura guidata di installazione si basa sul popolare strumento Inno Setup che lo rende diverso dall’attuale setup di Malwarebytes, come si può vedere negli screenshot riportati di seguito.
Schermata di configurazione della falsa installazione
Schermata di configurazione dell’installazione del vero Malwarebytes
Come verificare se il PC è stato infettato?
Gli utenti interessati possono verificare se sono stati infettati cercando uno dei seguenti file sul proprio PC:
% ProgramData% \ VMware \ VMware Tools \ vmtoolsd.exe
% ProgramData% \ VMware \ VMware Tools \ vmmem.exe
% ProgramData% \ VMware \ VMware Tools \ vm3dservice.exe
% ProgramData% \ VMware \ VMware Tools \ vmwarehostopen.exe
Se uno di questi file è presente, tutti i file in “% ProgramFiles (x86)% \ Malwarebytes” e gli eseguibili in “% ProgramData% \ VMware \ VMware Tools \” dovrebbero essere eliminati e, se possibile, occorrerà rimuovere il servizio “MBAMSvc”. Avast rileva e mette in quarantena il programma di installazione e i file dll, rendendo il servizio MBAMSvc ormai pulito e libero da codice dannoso. MBAMSvc può essere rimosso aprendo un prompt dei comandi con privilegi di amministratore ed eseguendo il comando “sc.exe delete MBAMSvc”
Gli utenti che hanno installato anche il vero software Malwarebytes dovrebbero fare attenzione quando rimuovono questi file, poiché anche il legittimo programma Malwarebytes si installa in% ProgramFiles% \ Malwarebytes. Per sicurezza, gli utenti possono rimuovere tutti i file in questa cartella e reinstallare Malwarebytes scaricandolo direttamente dal sito web originale dell’applicazione.
Avast ha segnalato a Malwarebytes la presenza di sulla rete dei falsi programmi di installazione.
Indicatori di compromissione:
Programmi di installazione (hash SHA-256):
dfb1a78be311216cd0aa5cb78759875cd7a2eeb5cc04a8abc38ba340145f72b9
f2caa14fd11685ba28068ea79e58bf0b140379b65921896e227a0c7db30a0f2c
6c8f6d6744e1353a5ed61a6df2be633637e288a511ba082b0a49aea3e96d295a
5c3b72ca262814869e6551e33940dc122e22a48b4f0b831dbe11f85f4b48a330
3ee609ef1c07d774b9fbf7f0f7743c8e7e5ba115162336f0e6e7482b4a72f412
Domini C&C:
dl.bytestech [.] dev
dl.cloudnetbytes [.] com
apis.masterbyte [.] nl
apis.mbytestech [.] com
apis.bytestech [.] dev
Miner di criptovaluta (hash SHA-256):
c6a8623e74f5aad94d899770b4a2ac5ef111e557661e09e62efc1d9a3eb1201c
fea67139bc724688d55e6a2fde8ff037b4bd24a5f2d2eb2ac822096a9c214ede
b3755d85548cefc4f641dfb6af4ccc4b3586a9af0ade33cc4e646af15b4390e7
7f7b6939ae77c40aa2d95f5bf1e6a0c5e68287cafcb3efb16932f88292301a4d
c90899fcaab784f98981ce988ac73a72b0b1dbceb7824f72b8218cb5783c6791
61b194c80b6c2d2c97920cd46dd62ced48a419a09179bae7de3a9cfa4305a830
Miner di criptovaluta (percorsi nel file system):
% ProgramData% \ VMware \ VMware Tools \ vmtoolsd.exe
% ProgramData% \ VMware \ VMware Tools \ vmmem.exe
% ProgramData% \ VMware \ VMware Tools \ vm3dservice.exe
% ProgramData% \ VMware \ VMware Tools \ vmwarehostopen.exe
2 Comments