FakeMBAM Bagdør
FakeMBAM Backdoor er en trussel om fjernadgang, der spredes gennem automatiske opdateringer af en torrentklient (Download Studio) og tre adblocker-programmer - NetShield Kit, My AdBlock og Net AdBlock. Download Studio er en gratis torrentklient, der mest er populær i Rusland og Ukraine. Som et resultat kommer de fleste brugere, der er berørt af FakeMBAM Backdoor, også fra disse to lande. Der er ingen konkret forklaring på, hvorfor torrentklienten og reklameblokprogrammerne pludselig begyndte at levere en bagdørstrussel gennem dens automatiske opdateringer. Infosec-forskere fandt dog nogle foruroligende aspekter som kodeligheder mellem alle fire programmer. Der er også det faktum, at webstederne for de tre annonceblokkere er åbenlyst hostet fra den samme IP-adresse.
Selve FakeMBAM Backdoor er skjult inde i et installationsprogram, der forsøger at bedrage brugeren om, at det er et legitimt installationsprogram. Hackerne strakte sig meget for at genskabe så meget af et legitimt program, som de var i stand til. Der er dog to bedragere. Det falske installationsprogram slipper en ændret DLL-fil ved navn ' Qt5WinExtras.dll ', en beskadiget DLL-fil - ' Qt5Help.dll ' og en ny ' data.pak .' 'Qt5WinExtras.dll' efterligner en fil med samme navn fra et legitimt program, men denne har en funktion indsat i den, der kalder en funktion eksporteret til ' Qt5Help.dll. ''
Den vigtigste truende funktionalitet udføres af filen ' Qt5Help.dll '. Det er ansvarligt for at etablere persistensmekanismer, der indeholder Command-and-Control-serverne, venter på instruktioner og levere vedvarende nyttelast, der derefter gemmes i en krypteret form i ' data.pak' -filen. De fleste af disse nyttelast, der blev opdaget af forskerne, var fra kryptokurrencyminearbejdere, men hackerne kunne let udvide de leverede malware-trusler. Især når FakeMBAM Backdoor kan håndtere flere truende nyttelast på samme tid. FakeMBAM er i stand til at udføre hver nyttelast på seks forskellige måder afhængigt af de modtagne kommandoer, mens den også udfører en specifik installationshandling før udførelsen af nyttelasten.
