FakeMBAM Backdoor
El Backdoor FakeMBAM es una amenaza de acceso remoto que se propaga a través de las actualizaciones automáticas de un cliente torrent (Download Studio) y tres programas de bloqueo de anuncios: NetShield Kit, My AdBlock y Net AdBlock. Download Studio es un cliente de torrents gratuito que es popular principalmente en Rusia y Ucrania. Como resultado, la mayoría de los usuarios afectados por la puerta trasera FakeMBAM también son de estos dos países. No hay una explicación concreta sobre por qué el cliente de torrents y los programas de bloqueo de publicidad comenzaron a generar una amenaza de puerta trasera a través de sus actualizaciones automáticas de repente. Los investigadores de Infosec, sin embargo, encontraron algunos aspectos inquietantes como similitudes de código entre los cuatro programas. También está el hecho de que, al parecer, los sitios web de los tres bloqueadores de anuncios están alojados desde la misma dirección IP.
La propia puerta trasera de FakeMBAM está oculta dentro de un instalador que intenta engañar al usuario de que es un instalador legítimo. Los piratas informáticos hicieron todo lo posible para recrear tanto un programa legítimo como pudieron. Sin embargo, hay dos impostores. El instalador falso suelta un archivo DLL modificado llamado ' Qt5WinExtras.dll ' , un archivo DLL dañado: ' Qt5Help.dll ' y un nuevo ' data.pak '. El 'Qt5WinExtras.dll' imita un archivo con el mismo nombre de un programa legítimo, pero este tiene una función insertada que llama a una función exportada a ' Qt5Help.dll. '
La principal funcionalidad amenazante la realiza el archivo ' Qt5Help.dll '. Es responsable de establecer mecanismos de persistencia, contener los servidores de comando y control, esperar instrucciones y entregar cargas útiles persistentes que luego se almacenan en forma cifrada en el archivo ' data.pak '. La mayoría de estas cargas útiles detectadas por los investigadores eran de mineros de criptomonedas, pero los piratas informáticos podían expandir fácilmente las amenazas de malware entregadas. Especialmente cuando el Backdoor FakeMBAM puede manejar varias cargas útiles amenazantes al mismo tiempo. FakeMBAM es capaz de ejecutar cada carga útil de seis formas diferentes dependiendo de los comandos recibidos y al mismo tiempo realizar una acción de configuración específica antes de la ejecución de la carga útil.
