Антивирусы с большой дороги

Антивирусы с большой дороги

Существует популярный миф о том, что разработчики противовирусного программного обеспечения и сами ответственны за распространение многообразных инфекций. На днях сторонники этой идеи получили аргумент в свою пользу - из Китая пришли новости о неподобающем поведении поставщика мобильных защитных решений NetQin.

В недобросовестности производителя уличили журналисты китайского государственного телевидения, которые обнаружили, что спустя некоторое время после установки продукта NetQin на мобильном устройстве появляется программа-загрузчик, определяемая как зараженный объект. Видимо, таким нехитрым способом компания решила обеспечить себе рост продаж - ведь угрозы для телефонов и планшетов пока еще исчезающе редки, а с такой схемой работы можно гарантированно не бояться появления строк вида "Обнаружено: 0".  

Соответственно, после внедрения программы в систему защитный продукт радостно генерирует уведомление о наличии угрозы. Впрочем, это еще не все: согласно появившимся в Сети сведениям, антивирусная программа информирует пользователя о том, что для надлежащей борьбы с заражением необходимо установить особое обновление - и за него нужно отдельно заплатить. Нет нужды напоминать, что это классическая тактика ложных антивирусов (с одной лишь разницей - последние обычно обнаруживают несуществующие угрозы, а не заражают компьютер).

Имеются также данные об агрессивном поведении китайского мобильного антивируса: утверждается, что он автоматически удаляет с устройства все прочие защитные решения - дабы те не определили вышеупомянутую инфекцию и не помешали исполнению задуманного. Если информация не преувеличена, то продукт NetQin уже можно смело заносить в базы как вредоносное программное обеспечение.

Источники в государственной телекоммуникационной компании China Telecom сообщают, что мобильные операторы Китая прекратили продажу разработок NetQin через свои магазины приложений и заблокировали доступ "защитника" к пользовательским счетам, чтобы его разработки не могли самостоятельно списывать плату за "обновление".

О комментариях со стороны представителей самой NetQin пока ничего не известно.

CNET Asia

Письмо автору

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru