FakeMBAM Backdoor

Por GoldSparrow em Backdoors

Traduzir Para:

O FakeMBAM Backdoor é uma Ameaça de Acesso Remoto, propagada por meio de atualizações automáticas de um cliente torrent (Download Studio) e três programas adblocker - NetShield Kit, My AdBlock e Net AdBlock. Download Studio é um cliente de torrent gratuito muito popular na Rússia e na Ucrânia. Como resultado, a maioria dos usuários afetados pelo FakeMBAM Backdoor também é desses dois países. Não há nenhuma explicação concreta sobre por que o cliente de torrent e os programas de bloqueio de publicidade começaram a enviar uma ameaça de backdoor por meio de suas atualizações automáticas repentinamente. Os pesquisadores da Infosec, no entanto, encontraram alguns aspectos perturbadores, como semelhanças de código entre os quatro programas. Também há o fato de que os sites dos três bloqueadores de anúncios são hospedados no mesmo endereço IP, aparentemente.

O próprio FakeMBAM Backdoor está oculto dentro de um instalador que tenta enganar o usuário, dizendo que é um instalador legítimo. Os hackers não mediram esforços para recriar o máximo possível de um programa legítimo. Porém, existem dois impostores. O falso instalador descarta um arquivo DLL modificado chamado ' Qt5WinExtras.dll ' , um arquivo DLL corrompido - ' Qt5Help.dll ' e um novo ' data.pak '. O 'Qt5WinExtras.dll' imita um arquivo com o mesmo nome de um programa legítimo, mas este possui uma função inserida nele que chama uma função exportada para ' Qt5Help.dll. '

A principal funcionalidade de ameaça é executada pelo arquivo ' Qt5Help.dll '. É responsável por estabelecer mecanismos de persistência, contendo os servidores de comando e controle, aguardando instruções e entregando cargas persistentes que são então armazenadas de forma criptografada no arquivo ' data.pak '. A maioria dessas cargas detectadas pelos pesquisadores era de mineradores de criptomoedas, mas os hackers podiam expandir as ameaças de malware entregues facilmente. Especialmente quando o Backdoor FakeMBAM pode lidar com várias cargas ameaçadoras ao mesmo tempo. O FakeMBAM é capaz de executar cada carga útil de seis maneiras diferentes, dependendo dos comandos recebidos, ao mesmo tempo em que realiza uma ação de configuração específica antes da execução da carga útil.

Buscar

Mudar de região

FakeMBAM Backdoor

Enviar o Comentário

Tendendo

'YouPorn' Email Scam

Safe Search Eng

MyWallPaper

Mais visto

O Lookmovie.io é seguro?

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela