FakeMBAM Backdoor

La porte dérobée FakeMBAM est une menace d'accès à distance propagée par les mises à jour automatiques d'un client torrent (Download Studio) et de trois programmes de blocage de publicités - NetShield Kit, My AdBlock et Net AdBlock. Download Studio est un client torrent gratuit qui est principalement populaire en Russie et en Ukraine. En conséquence, la plupart des utilisateurs concernés par la porte dérobée FakeMBAM proviennent également de ces deux pays. Il n'y a pas d'explication concrète sur la raison pour laquelle le client torrent et les programmes de blocage de la publicité ont commencé à lancer soudainement une menace de porte dérobée via ses mises à jour automatiques. Les chercheurs d'Infosec, cependant, ont trouvé des aspects inquiétants comme les similitudes de code entre les quatre programmes. Il y a aussi le fait que les sites Web des trois bloqueurs de publicités sont hébergés à partir de la même adresse IP, apparemment.

La porte dérobée FakeMBAM elle-même est cachée dans un programme d'installation qui tente de tromper l'utilisateur en lui disant qu'il s'agit d'un installateur légitime. Les hackers se sont donné beaucoup de mal pour recréer autant de programmes légitimes qu'ils le pouvaient. Il y a cependant deux imposteurs. Le faux programme d'installation supprime un fichier DLL modifié nommé « Qt5WinExtras.dll », un fichier DLL corrompu - « Qt5Help.dll » et un nouveau « data.pak ». Le 'Qt5WinExtras.dll' imite un fichier avec le même nom d'un programme légitime, mais celui-ci a une fonction insérée dedans qui appelle une fonction exportée vers ' Qt5Help.dll. '

La principale fonctionnalité menaçante est effectuée par le fichier « Qt5Help.dll ». Il est chargé d'établir des mécanismes de persistance, contenant les serveurs de commande et de contrôle, attendant les instructions et délivrant des charges utiles persistantes qui sont ensuite stockées sous une forme cryptée dans le fichier « data.pak ». La plupart de ces charges utiles détectées par les chercheurs provenaient de mineurs de crypto-monnaie, mais les pirates pouvaient facilement étendre les menaces de logiciels malveillants. Surtout lorsque la porte dérobée FakeMBAM peut gérer plusieurs charges utiles menaçantes en même temps. FakeMBAM est capable d'exécuter chaque charge utile de six manières différentes en fonction des commandes reçues tout en effectuant également une action de configuration spécifique avant l'exécution de la charge utile.