• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Speciale Cloud
  • Industry 4.0
  • Sanità Digitale
  • Redazione
  • Contattaci
LineaEDP
    Facebook Twitter Vimeo LinkedIn RSS
    Trending
    • Le frodi non fermano le attività digitali
    • Progresso del commercio di Bitcoin in Bulgaria
    • Colt annuncia Colt SASE Gateway
    • Avviso preventivo su Antigena Email
    • Ivanti: la tecnologia fornita in ufficio non è sufficiente
    • SAS acquisisce Kamakura per promuovere l’innovazione in ambito risk
    • Edge Computing: perché è fondamentale nella digitalizzazione delle aziende
    • Cose Generali da Considerare in un Casino dal Vivo
    Facebook Twitter Vimeo LinkedIn RSS
    LineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDP
    Sei qui:Home»Categorie Funzionali»Posizione Home-Page»Avast: fake Malwarebytes utilizzato per distribuire CoinMiner
    Posizione Home-Page

    Avast: fake Malwarebytes utilizzato per distribuire CoinMiner

    Di Redazione LineaEDP31/08/2020Updated:27/08/2020Lettura 3 Min
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    Al momento, non è possibile sapere dove o come vengono distribuiti i falsi file di installazione, ma è possibile confermare che non vengono distribuiti tramite i canali ufficiali di Malwarebytes, che rimangono fonti attendibili

    Avast

    Il team di ricerca di Avast, specialista globale nella sicurezza e nella privacy digitale, ha iniziato a rilevare venerdì 21 agosto 2020, falsi file di installazione di Malwarebytes contenenti una backdoor che carica il miner Monero. Il file più diffuso con cui viene distribuito uno dei file di installazione è “MBSetup2.exe”. Avast ha protetto quasi 100.000 utenti dai falsi file di installazione, che si stanno diffondendo principalmente in Russia, Ucraina ed Europa orientale. Al momento, non è possibile sapere dove o come vengono distribuiti i falsi file di installazione, ma è possibile confermare che non vengono distribuiti tramite i canali ufficiali di Malwarebytes, che rimangono fonti attendibili.

    I criminali informatici dietro questa campagna hanno riconfezionato il programma di installazione di Malwarebytes in modo che contenga un payload dannoso. Il falso file di installazione, MBSetup2.exe, non è firmato e contiene file dll (dynamic link library) dannosi denominati Qt5Help.dll e Qt5WinExtras.dll, con firme digitali non valide. Tutti gli altri file eseguibili portatili (PE) contenuti nel programma di installazione sono firmati con Malwarebytes o certificati Microsoft validi.

    Cosa succede quando viene lanciato il fake Malwarebytes

    Dopo aver eseguito uno dei falsi programmi di installazione di Malwarebytes, viene visualizzata una falsa procedura guidata. Il malware installa un programma fake di Malwarebytes in “% ProgramFiles (x86)% \ Malwarebytes” e nasconde la maggior parte del payload dannoso all’interno di una delle due dll, Qt5Help.dll. Il malware notifica alle vittime che Malwarebytes è stato installato con successo, il che non è vero, poiché il programma non può essere aperto. Il malware si installa quindi come servizio chiamato “MBAMSvc” e procede al download di un ulteriore payload dannoso, che attualmente è un miner di criptovaluta Monero chiamato Bitminer, basato su XMRig.

    La procedura guidata di installazione si basa sul popolare strumento Inno Setup che lo rende diverso dall’attuale programma di installazione di Malwarebytes.

    Come verificare se si è stati infettati

    Gli utenti possono verificare se sono stati infettati cercando uno dei seguenti file sul loro PC:

    %ProgramData%\VMware\VMware Tools\vmtoolsd.exe
    %ProgramData%\VMware\VMware Tools\vmmem.exe
    %ProgramData%\VMware\VMware Tools\vm3dservice.exe
    %ProgramData%\VMware\VMware Tools\vmwarehostopen.exe

    Se uno di questi file è presente, tutti i file in “% ProgramFiles (x86)% \ Malwarebytes” e gli eseguibili in “% ProgramData% \ VMware \ VMware Tools \” dovrebbero essere eliminati e, se possibile, va rimosso il servizio “MBAMSvc”. Avast rileva e mette in quarantena il programma di installazione e i file dll, rendendo il servizio MBAMSvc benigno. MBAMSvc può essere rimosso aprendo un prompt dei comandi con privilegi elevati ed eseguendo il comando “sc.exe elimina MBAMSvc”.

    Gli utenti che hanno installato anche il vero software Malwarebytes dovrebbero fare attenzione quando rimuovono questi file, poiché anche il programma Malwarebytes effettivo si installa in% ProgramFiles% \ Malwarebytes. Per sicurezza, gli utenti possono rimuovere tutti i file in questa cartella e reinstallare Malwarebytes direttamente dal sito web ufficiale.

    Avast ha notificato a Malwarebytes i falsi file di installazione in circolazione.

    Avast
    Condividi: Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • Twitter

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Le frodi non fermano le attività digitali

    29/06/2022

    Colt annuncia Colt SASE Gateway

    29/06/2022

    Avviso preventivo su Antigena Email

    29/06/2022
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    BitMATv – I video di BitMAT
    SPS 2022: l’automazione è tornata in scena a Parma
    Security: le norme indicano il percorso
    Enabling an Intelligent and Sustainable Planet
    TURCK BANNER: IL PARTNER DELL’AUTOMAZIONE A 360°
    COGNEX: visione artificiale e deep learning per la fabbrica del futuro
    Defence Tech

    Le frodi non fermano le attività digitali

    29/06/2022

    Colt annuncia Colt SASE Gateway

    29/06/2022

    Avviso preventivo su Antigena Email

    29/06/2022

    Kaspersky avverte: sistemi di building automation sotto attacco

    28/06/2022
    Report

    Ivanti: la tecnologia fornita in ufficio non è sufficiente

    29/06/2022

    Juniper: l’adozione dell’AI accelera in Europa ma la governance è in ritardo

    27/06/2022

    5G: previsti 4,4 miliardi di abbonamenti nel 2027

    22/06/2022

    Finance sempre più nel mirino dei criminali informatici

    22/06/2022
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook Twitter Vimeo LinkedIn RSS
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Ultime

    Le frodi non fermano le attività digitali

    29/06/2022

    Progresso del commercio di Bitcoin in Bulgaria

    29/06/2022

    Colt annuncia Colt SASE Gateway

    29/06/2022
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2022 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Scrivi nel campo e premi Invio per cercare. Premi Esc per annullare