Onderzoekers hebben verschillende Windows-backdoors ontdekt die om detectie te voorkomen hun netwerkverkeer als dat van Windows Messenger (ook bekend als MSN Messenger) en Yahoo Messenger vermommen. Veel remote access Trojans (RATs) produceren netwerkverkeer dat inmiddels eenvoudig te herkennen is. De makers van de 'Fakem' RATs besloten daarvoor een oplossing te zoeken.

Het antwoord zou liggen in het netwerkverkeer op verschillende andere protocollen te laten lijken. Sommige varianten van de Fakem RAT lijken op Windows Messenger en Yahoo Messenger, terwijl anderen zich als normaal webverkeer voordoen. De Fakem RATs zouden al sinds september 2009 bij aanvallen zijn ingezet.

Verkeer
Echt veel moeite om het verkeer te vermommen doen de backdoors niet. In de meeste gevallen wordt alleen de header aangepast en is het verkeer van de echte Messenger programma's en dat afkomstig van de backdoor eenvoudig te herkennen.

Daarnaast gebruiken de aanvallers verschillende domeinen die op legitieme domeinen lijken, maar uiteindelijk ook duidelijk te herkennen zijn. Het gaat dan om yourturbe.org, googmail.com, avira.suroot.com en freeavg.sytes.net.

"Kennis van aanvalstools, technieken en infrastructuur van tegenstanders is essentieel voor het ontwikkelen van verdedigingsstrategieën", zegt onderzoeker Nart Villeneuve van Trend Micro. Hij stelt dat het verkeer van de Fakem RATs is te herkennen, maar dat dit in het geval van grote netwerken niet zo eenvoudig is, waardoor de aanvallers langer onopgemerkt blijven.