挖礦惡意程式藉由假防毒防駭軟體大肆散布.png

資安廠商發現,有不明駭侵者在網路上散布假的惡意軟體掃瞄移除程式,其中藏有挖礦惡意程式碼。

資安廠商 Avast 近日發表研究報告,該公司發現有不明駭侵者在網路上散布假的惡意軟體掃瞄移除程式 Malwarebyte,其中藏有挖礦惡意程式碼,會潛藏於受害者的電腦系統上進行挖礦。

Avast 說,該公司在八月下旬起開始偵測到一些假冒的 Malwarebyte 安裝程式,內含會載入 XMRig 惡意軟體的後門;用戶如果安裝了,就會被植入 XMRig 惡意軟體,電腦系統資源將遭盜用進行 Monero 加密貨幣挖礦。

這些假冒的 Malwarebyte 安裝程式,係將惡意程式碼藏在 MBSetup2.exe 以及 Qt5Help.dll、Qt5WinExtras.dll 檔案中,安裝完成後會利用 MBAMSvc 服務下載惡意軟體程式碼的酬載,內含挖礦用的 Bitminer 程式。

目前的受害者多分布於俄羅斯、烏克蘭和東歐諸國。

Avast 說,真正的 Malwarebyte 軟體並不含上述的 .dll 檔,下列檔案也可能會被安裝在 PC 中:

 

  • %ProgramData%\VMware\VMware Tools\vmtoolsd.exe
  • %ProgramData%\VMware\VMware Tools\vmmem.exe
  • %ProgramData%\VMware\VMware Tools\vm3dservice.exe
  • %ProgramData%\VMware\VMware Tools\vmwarehostopen.exe
     

一旦用戶發現自己電腦上有上述檔案,應該立即移除;同時也應移除「%ProgramFiles(x86)%\Malwarebytes」資料夾中的所有檔案,以策安全。


  • 參考連結

https://blog.avast.com/fake-malwarebytes-installation-files-distributing-coinminer

https://securityboulevard.com/2020/08/fake-malwarebytes-installation-files-distributing-coinminer-avast/

arrow
arrow
    創作者介紹
    創作者 twcert 的頭像
    twcert

    台灣電腦網路危機處理暨協調中心-TWCERT/CC

    twcert 發表在 痞客邦 留言(0) 人氣()