FakeMBAM, el malware que se vistió de antivirus

La historia de FakeMBAM me recuerda una experiencia personal: hace ya bastantes años hice un viaje de trabajo a una presentación internacional organizada por una importante empresa de seguridad europea, un encuentro al que concurrimos no menos de cien redactores de medios tecnológicos. Una de las sesiones se centro en los FakeAV, ya sabes, esos patógenos que se hacían pasar por una solución de seguridad, sometían tu sistema a un supuesto análisis y, tras detectar múltiples (e inexistentes) amenazas, te ofrecían limpiar tu sistema por un módico precio. Ni que decir tiene que el único malware que entraba en el sistema en esa operación era el supuesto antivirus.

Lo interesante de aquella experiencia fue que, por sorpresa, nos hicieron un examen a los asistentes: solo con 24 capturas de pantalla de interfaces (una por cada programa), teníamos que averiguar cuáles correspondían a soluciones de seguridad legítima y cuáles eran un FakeAV. Si éramos 100 personas en la sala, solo cinco o seis fuimos capaces de detectar a los impostores. Y no lo digo por echarme flores, ojo, sino como muestra de lo difícil que puede resultar, en ocasiones, detectar amenazas como FakeMBAM, incluso para los expertos.

Los ciberdelincuentes llevan ya muchos años buscando la manera de eludir la creciente cultura de la ciberseguridad. ¿Y qué mejor que hacerse pasar por una solución de seguridad para intentar engañar al usuario? A eso «jugaban» los FakeAV hace ya una década, y eso es lo que pretende FakeMBAM actualmente: hacerse pasar por una solución de seguridad legítima y reconocida, ganándose así la confianza de los usuarios. El problema, claro, es que no solo no protege el sistema de las amenazas, sino que además instala un troyano en el sistema.

Como posiblemente ya hayas deducido por su nombre, FakeMBAM simula ser Malwarebytes Antimalware, una popular solución de seguridad que, hay que reconocerlo, ha sido bastante bien emulada por los creadores de este malware. Y esto es algo que sabemos hoy gracias al análisis técnico llevado a cabo por los investigadores de Avast que, tras detectar el patógeno a finales de agosto, ya han podido diseccionarlo y recopilar bastante inteligencia sobre el mismo.

La principal técnica de difusión de FakeMBAM es distribuirse en conjunto con una versión Download Studio, un cliente de Bittorrent bastante popular en Europa del Este (no confundir con el software de Conceiva, que es una aplicación legítima). Además, aunque en menor medida, también lo hace a través de tres bloqueadores de publicidad: NetShield Kit, My AdBlock y Net AdBlock. En todos los casos, la instalación del troyano fue de la mano con la de estas aplicaciones.

Una vez en el sistema, para aparentar legitimidad, copia algunos archivos legítimos de la solución de seguridad de Malwarebytes, en un intento de hacerse pasar por lo que no es. No obstante, y pese a sus esfuerzos en este sentido, FakeMBAM ya está identificado por los fabricantes de seguridad y, por lo tanto, sus soluciones de seguridad (las de verdad, incluida Malwarebytes Antimalware) detectan este troyano y acaban con su amenaza.

La entrada FakeMBAM, el malware que se vistió de antivirus es original de MuySeguridad. Seguridad informática.