Threat Database Backdoors FakeMBAM Backdoor

FakeMBAM Backdoor

FakeMBAM Backdoor è una minaccia di accesso remoto propagata tramite gli aggiornamenti automatici di un client torrent (Download Studio) e tre programmi di blocco degli annunci: NetShield Kit, My AdBlock e Net AdBlock. Download Studio è un client torrent gratuito popolare soprattutto in Russia e Ucraina. Di conseguenza, anche la maggior parte degli utenti interessati dalla backdoor FakeMBAM proviene da questi due paesi. Non esiste una spiegazione concreta sul motivo per cui il client torrent ei programmi di blocco pubblicitario abbiano iniziato a fornire una minaccia backdoor attraverso i suoi aggiornamenti automatici all'improvviso. I ricercatori di Infosec, tuttavia, hanno trovato alcuni aspetti inquietanti come le somiglianze del codice tra tutti e quattro i programmi. C'è anche il fatto che i siti web per i tre ad blocker sono ospitati dallo stesso indirizzo IP, apparentemente.

La stessa FakeMBAM Backdoor è nascosta all'interno di un programma di installazione che tenta di ingannare l'utente dicendo che è un programma di installazione legittimo. Gli hacker hanno fatto di tutto per ricreare il maggior numero possibile di programmi legittimi. Ci sono però due impostori. Il falso programma di installazione rilascia un file DLL modificato denominato " Qt5WinExtras.dll " , un file DLL danneggiato - " Qt5Help.dll " e un nuovo " data.pak ". "Qt5WinExtras.dll" imita un file con lo stesso nome da un programma legittimo, ma questo ha una funzione inserita al suo interno che chiama una funzione esportata in " Qt5Help.dll. '

La principale funzionalità minacciosa viene eseguita dal file " Qt5Help.dll ". È responsabile della creazione di meccanismi di persistenza, contenenti i server Command-and-Control, in attesa di istruzioni e di fornire payload persistenti che vengono quindi archiviati in forma crittografata nel file " data.pak ". La maggior parte di questi payload rilevati dai ricercatori provenivano da minatori di criptovaluta, ma gli hacker potevano espandere facilmente le minacce malware fornite. Soprattutto quando FakeMBAM Backdoor è in grado di gestire diversi payload minacciosi contemporaneamente. FakeMBAM è in grado di eseguire ciascun payload in sei modi diversi a seconda dei comandi ricevuti mentre esegue anche un'azione di configurazione specifica prima dell'esecuzione del payload.

Tendenza

I più visti

Caricamento in corso...