El minero Monero basado en XMRig infecta PCs a través de descargas de software ilegítimas.
Por Avast Threat Intelligence Team, 24 August 2020.
El viernes 21 de agosto de 2020, comenzamos a detectar archivos de instalación de Malwarebytes falsos que contienen una puerta trasera que carga un minero de Monero basado en XMRig en las PC infectadas. El nombre de archivo más común con el que se distribuye uno de los archivos de instalación es “MBSetup2.exe”. Avast ha protegido a casi 100,000 usuarios de Avast y AVG de los archivos de instalación falsos, que se están propagando principalmente en Rusia, Ucrania y Europa del Este. Hasta el momento, no sabemos dónde ni cómo se distribuye el archivo de instalación falso, pero podemos confirmar que los archivos de instalación no se distribuyen a través de los canales oficiales de Malwarebytes, que siguen siendo fuentes confiables.
Los ciberdelincuentes detrás de esto han vuelto a empaquetar el instalador de Malwarebytes para contener una carga útil maliciosa. El archivo de instalación falso, MBSetup2.exe, es un archivo sin firma que contiene archivos dll maliciosos llamados Qt5Help.dll y Qt5WinExtras.dll con firmas digitales no válidas. Todos los demás archivos ejecutables portátiles (PE) empaquetados dentro del instalador están firmados con certificados válidos de Malwarebytes o Microsoft.
La persona o personas detrás de esto pueden cambiar la carga útil maliciosa en cualquier momento, distribuir otros programas maliciosos a las PC infectadas.
¿Qué sucede cuando se inicia el instalador falso?
Después de ejecutar uno de los instaladores falsos de Malwarebytes, aparece un asistente de configuración de Malwarebytes falso. El malware instala un programa Malwarebytes falso en “%ProgramFiles (x86)%\ Malwarebytes” y oculta la mayor parte de la carga útil maliciosa dentro de uno de los dos dlls, Qt5Help.dll. El malware notifica a las víctimas que Malwarebytes se instaló correctamente, lo cual no es cierto, ya que el programa no se puede abrir. Luego, el malware se instala como un servicio llamado “MBAMSvc” y procede a descargar una carga útil maliciosa adicional, que actualmente es un minero de criptomonedas llamado Bitminer, un minero de Monero basado en XMRig.
El asistente de instalación se basa en la popular herramienta Inno Setup que hace que se vea diferente del instalador de Malwarebytes real, como se puede ver en las capturas de pantalla a continuación.
Pantalla de configuración de instalación falsa
Pantalla de configuración de instalación real
Cómo comprobar si su PC ha sido infectada
Los usuarios preocupados pueden comprobar si han sido infectados buscando uno de los siguientes archivos en su PC:
- %ProgramData%\VMware\VMware Tools\vmtoolsd.exe
- %ProgramData%\VMware\VMware Tools\vmmem.exe
- %ProgramData%\VMware\VMware Tools\vm3dservice.exe
- %ProgramData%\VMware\VMware Tools\vmwarehostopen.exe
Si alguno de estos archivos está presente, todos los archivos en “%ProgramFiles (x86)%\Malwarebytes” y los ejecutables en “%ProgramData%\VMware\VMware Tools\” deben eliminarse y, si es posible, el servicio “MBAMSvc” también puede ser eliminado. Avast detecta y pone en cuarentena el instalador y los archivos dll, lo que hace que el servicio MBAMSvc sea benigno. MBAMSvc se puede eliminar abriendo la línea de comandos con privilegios elevados y ejecutar el comando “sc.exe delete MBAMSvc”
Los usuarios que también tengan instalado el software Malwarebytes real deben tener cuidado al eliminar estos archivos, ya que el programa Malwarebytes real también se instala en %ProgramFiles%\Malwarebytes. Para estar seguros, los usuarios pueden eliminar todos los archivos de esta carpeta y reinstalar Malwarebytes directamente desde su sitio web.
Avast ha notificado a Malwarebytes sobre la circulación de los archivos de instalación falsos.
Indicadores de compromiso:
Instaladores (hashes SHA-256):
dfb1a78be311216cd0aa5cb78759875cd7a2eeb5cc04a8abc38ba340145f72b9
f2caa14fd11685ba28068ea79e58bf0b140379b65921896e227a0c7db30a0f2c
6c8f6d6744e1353a5ed61a6df2be633637e288a511ba082b0a49aea3e96d295a
5c3b72ca262814869e6551e33940dc122e22a48b4f0b831dbe11f85f4b48a330
3ee609ef1c07d774b9fbf7f0f7743c8e7e5ba115162336f0e6e7482b4a72f412
Dominios C&C:
dl.bytestech[.]dev
dl.cloudnetbytes[.]com
apis.masterbyte[.]nl
apis.mbytestech[.]com
apis.bytestech[.]dev
Mineros de criptomonedas (SHA-256 hashes):
c6a8623e74f5aad94d899770b4a2ac5ef111e557661e09e62efc1d9a3eb1201c
fea67139bc724688d55e6a2fde8ff037b4bd24a5f2d2eb2ac822096a9c214ede
b3755d85548cefc4f641dfb6af4ccc4b3586a9af0ade33cc4e646af15b4390e7
7f7b6939ae77c40aa2d95f5bf1e6a0c5e68287cafcb3efb16932f88292301a4d
c90899fcaab784f98981ce988ac73a72b0b1dbceb7824f72b8218cb5783c6791
61b194c80b6c2d2c97920cd46dd62ced48a419a09179bae7de3a9cfa4305a830
Mineros de criptomonedas (ubicaciones del sistema de archivos)
%ProgramData%\VMware\VMware Tools\vmtoolsd.exe
%ProgramData%\VMware\VMware Tools\vmmem.exe
%ProgramData%\VMware\VMware Tools\vm3dservice.exe
%ProgramData%\VMware\VMware Tools\vmwarehostopen.exe