Các nhà nghiên cứu bảo mật đã quan sát thấy một CyrptoJacking chiến dịch nơi các tệp cài đặt Malwarebytes giả mạo phân phối tiền điện tử phần mềm độc hại trên các PC bị nhiễm. Những đồng xu các chương trình tạo ra tiền điện tử như Bitcoin, Ethereum, Monero và những người khác.
Malwarebytes Coinminer giả mạo
Tuần trước, các nhà nghiên cứu bảo mật đã có thể phát hiện các tệp cài đặt Malwarebytes giả mạo. Theo các nhà nghiên cứu, những tệp này chứa một cửa hậu phân phối coinminer vào các PC bị nhiễm. Dựa trên XMRig, chiến dịch phần mềm độc hại có thể tạo ra tiền điện tử Monero.
Tệp cài đặt được đề cập là MBSetup2.exe. Điều này cryptojacking chiến dịch đang lan rộng ở Nga, Ukraine và Đông Âu.
“Hiện tại, chúng tôi chưa biết tệp cài đặt giả đang được phân phối ở đâu hoặc bằng cách nào, nhưng chúng tôi có thể xác nhận rằng tệp cài đặt không được phân phối qua các kênh Malwarebytes chính thức, vẫn là các nguồn đáng tin cậy”, các nhà nghiên cứu bảo mật nói trong bài đăng trên blog của họ.
Các nhà nghiên cứu tin rằng các nhà khai thác phần mềm độc hại đã đóng gói lại trình cài đặt Malwarebytes để phân phối một tải trọng độc hại. Ví dụ: tệp cài đặt Malwarebytes giả mạo MBSetup2.exe chứa các tệp DLL độc hại Qt5Help.dll và Qt5WinExtras.dll. Tất cả các tệp cài đặt khác được ký bằng Malwarebyte hoặc chứng chỉ Microsoft hợp lệ.
Chiến dịch cryptojacking này cho phép các nhà khai thác thực hiện các thay đổi đối với tải trọng độc hại bất cứ lúc nào, cho phép họ phân phối các chương trình độc hại khác đến các máy tính bị nhiễm.
Việc thực thi trình cài đặt Malwarebytes giả sẽ hiển thị một trình hướng dẫn thiết lập giả. Nó cài đặt chương trình giả mạo vào thư mục sau:
%ProgramFiles(x86)%Malwarebytes
Phần lớn tải trọng độc hại vẫn ẩn bên trong Qt5Help.dll.
Sau đó, nó thông báo cho nạn nhân rằng Malwarebytes đã được cài đặt thành công.
“Phần mềm độc hại sau đó tự cài đặt dưới dạng một dịch vụ có tên“ MBAMSvc ”và tiến hành tải xuống thêm một tải trọng độc hại, hiện là một công cụ khai thác tiền điện tử có tên Bitminer, một công cụ khai thác Monero dựa trên XMRig.”
Màn hình thiết lập cài đặt Malwarebytes giả trông khác với màn hình thật.
Người dùng Malwarebytes phải kiểm tra xem họ có bị nhiễm bởi kẻ đào tiền hay không. Tất cả những gì bạn cần làm là tìm kiếm một trong các tệp sau trên PC của mình:
% ProgramData% VMware VMware Tools vmtoolsd.exe
% ProgramData% VMware VMware Tools vmmem.exe
% ProgramData% VMware VMware Tools vm3dservice.exe
% ProgramData% VMware VMware Tools vmwarehostopen.exe
Nếu PC của bạn có thể phát hiện ra sự hiện diện của bất kỳ tệp nào được đề cập ở trên, cài đặt giả mạo sẽ tự động bị xóa.
Chúng tôi cũng xem xét một số phần mềm khai thác Bitcoin tốt nhất cho Windows 10.
- Thẻ: Phần mềm độc hại
BLog Thủ Thuật chúc anh em thành công!!!