Threat Database Backdoors FakeMBAM Backdoor

FakeMBAM Backdoor

De FakeMBAM Backdoor is een bedreiging voor externe toegang die wordt verspreid door de automatische updates van een torrent-client (Download Studio) en drie adblocker-programma's - NetShield Kit, My AdBlock en Net AdBlock. Download Studio is een gratis torrent-client die vooral populair is in Rusland en Oekraïne. Als gevolg hiervan komen de meeste gebruikers die door de FakeMBAM Backdoor worden getroffen ook uit deze twee landen. Er is geen concrete verklaring waarom de torrent-client en de advertentieblokkeringsprogramma's plotseling een achterdeurbedreiging begonnen af te leveren via de automatische updates. Infosec-onderzoekers ontdekten echter enkele verontrustende aspecten, zoals code-overeenkomsten tussen alle vier de programma's. Er is ook het feit dat de websites voor de drie adblockers blijkbaar vanaf hetzelfde IP-adres worden gehost.

De FakeMBAM Backdoor zelf is verborgen in een installatieprogramma dat de gebruiker probeert te misleiden dat het een legitiem installatieprogramma is. De hackers deden hun uiterste best om een zo goed mogelijk legitiem programma te maken. Er zijn echter twee bedriegers. Het nep-installatieprogramma laat een aangepast DLL-bestand met de naam ' Qt5WinExtras.dll ', een beschadigd DLL-bestand - ' Qt5Help.dll ' en een nieuw ' data.pak ' vallen . De 'Qt5WinExtras.dll' bootst een bestand met dezelfde naam na uit een legitiem programma, maar deze heeft een functie die een functie aanroept die is geëxporteerd naar ' Qt5Help.dll. '

De belangrijkste bedreigende functionaliteit wordt uitgevoerd door het bestand ' Qt5Help.dll '. Het is verantwoordelijk voor het opzetten van persistentiemechanismen, die de Command-and-Control-servers bevatten, wachten op instructies en persistente payloads leveren die vervolgens in een gecodeerde vorm worden opgeslagen in het bestand ' data.pak '. De meeste van deze payloads die door de onderzoekers werden gedetecteerd, waren afkomstig van cryptocurrency-mijnwerkers, maar de hackers konden de geleverde malwarebedreigingen gemakkelijk uitbreiden. Zeker als de FakeMBAM Backdoor meerdere bedreigende ladingen tegelijk aankan. FakeMBAM is in staat om elke payload op zes verschillende manieren uit te voeren, afhankelijk van de ontvangen opdrachten, terwijl ook een specifieke setup-actie wordt uitgevoerd voordat de payload wordt uitgevoerd.

Trending

Meest bekeken

Bezig met laden...