FakeM
Techniques Used |
||||
| Domain | ID | Name | Use | |
|---|---|---|---|---|
| Enterprise | T1001 | .003 | Data Obfuscation: Protocol Impersonation |
FakeM C2 traffic attempts to evade detection by resembling data generated by legitimate messenger applications, such as MSN and Yahoo! messengers. Additionally, some variants of FakeM use modified SSL code for communications back to C2 servers, making SSL decryption ineffective.(Citation: Scarlet Mimic Jan 2016) |
| Enterprise | T1573 | .001 | Encrypted Channel: Symmetric Cryptography |
The original variant of FakeM encrypts C2 traffic using a custom encryption cipher that uses an XOR key of “YHCRA” and bit rotation between each XOR operation. Some variants of FakeM use RC4 to encrypt C2 traffic.(Citation: Scarlet Mimic Jan 2016) |
| Enterprise | T1056 | .001 | Input Capture: Keylogging |
FakeM contains a keylogger module.(Citation: Scarlet Mimic Jan 2016) |
Groups That Use This Software |
||
| ID | Name | References |
|---|---|---|
| G0029 | Scarlet Mimic |
(Citation: Scarlet Mimic Jan 2016) |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.