Адваре DealPly використовує Microsoft SmartScreen і McAfee WebAdvisor

11:11
Адваре DealPly використовує Microsoft SmartScreen і McAfee WebAdvisor

     Дослідники звернули увагу на нове цікаве адваре під назвою DealPly. Його особливість полягає у використанні сервісів Microsoft і McAfee, які допомагають шкіднику уникнути детектування. 

     Про адваре розповіли експерти Аді Зелігсон і Ротем Кернер. Зазвичай DealPly проникає на комп'ютери користувачів з установочними файлами легітимних програм. Після запуску шкідник копіюється в директорію Windows% AppData% і додає себе в планувальник завдань Windows — це гарантує щогодинний запуск адваре. 

     При кожному такому запуску шкідник звертається до командного сервера C2 за інструкціями. Для цього надсилаються спеціальні зашифровані запити через HTTP. Сам шкідник модульний, він цілком може виявити віртуальну машину або зняти цифровий відбиток пристрою. 

     А тепер найцікавіше: один з останніх зразків DealPly використовує репутаційні сервіси від Microsoft і McAfee, щоб уникнути детектування в системі. Мова йде про Microsoft SmartScreen і McAfee WebAdvisor, безкоштовні системи, які використовуються для оцінки ризику файлів і посилань. Якщо який-небудь з доменів був раніше занесений в чорний список, ці сервіси попередять про це користувача при спробі зайти на такий сайт. «Ми підозрюємо, що основна причина, по якій адваре використовує сервіси репутації, криється в можливості перевірки своїх файлів і посилань. Якщо вони вже були занесені в список, то немає сенсу продовжувати їх використовувати », — пишуть дослідники. У разі Microsoft SmartScreen DealPly запросить у свого командного центру хеши і URL, щоб перевірити їх за допомогою сервісу від Microsoft. Для цього відправляється JSON-запит до API SmartScreen. У відповідь сервіс може надіслати одне з трьох станів: UNKN — невідомий файл або URL. 

MLWR — шкідливий файл або URL. 

PHSH — фішингових файл або URL. 

    Варто відзначити, що API SmartScreen ніде докладно не розписано, це означає, що кіберзлочинці виконали велику роботу — провели зворотний інжиніринг механізму SmartScreen.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.