TheWindowsClub Tech Newsは8月25日(米国時間)、「Beware! Fake antivirus installer caught distributing cryptocurrency malware」において、アンチマルウェアソフトウェア「Malwarebytes」の偽のインストーラが出回っているとして、注意を呼びかけた。

この偽インストーラを実行すると、PCに仮想通貨のマイニングプログラムを配布するバックドアが仕掛けられるという。これらのマイニングプログラムは、ユーザーが知らない間にBitcoinやEthereum、Moneroなどの仮想通貨をマイニングする。

研究者によると、偽のMalwarebytesインストーラのファイル名は「MBSetup2.exe」で、正規のMalwarebytesインストーラを再パッケージする形で悪意のあるファイルが仕込まれた可能性があるとのこと。というのも、このインストーラには「Qt5Help.dll」と「Qt5WinExtras.dll」という悪意のあるDLLファイルが含まれているものの、その他のファイルは有効な証明書で署名されたものだったからである。

偽のMalwarebytesインストーラは偽のセットアップウィザードを実行し、「%ProgramFiles(x86)%\ Malwarebytes」に偽のプログラムをインストールする。その後、マルウェアは自分自身を「MBAMSvc」というサービスとしてインストールし、追加で悪意のあるプログラムをダウンロードする。報告されている事例では、オープンソースのマイニングソフトウェアであるXMRigをベースとした「Bitminer」と呼ばれるマイニングソフトウェアがダウンロードされたとのことだ。XMRigはマルウェアランキングでも長期にわたって上位を維持しているソフトウェアである。

現時点では、偽のMalwarebytesインストーラがどのサイトで配布されているのかは判明していないものの、公式のMalwarebytesチャネルで配布されているものでないことは確認されているという。Malwarebytesを使用しているユーザーは、不正にマイニングソフトウェアがインストールされていないかをチェックしたほうがいいだろう。