Адваре DealPly использует Microsoft SmartScreen и McAfee WebAdvisor
Главная » Новости

Адваре DealPly использует Microsoft SmartScreen и McAfee WebAdvisor

Олег Иванов 02 Августа 2019 - 16:16
...
Адваре DealPly использует Microsoft SmartScreen и McAfee WebAdvisor

Исследователи обратили внимание на новое интересное адваре под названием DealPly. Его особенность заключается в использовании сервисов Microsoft и McAfee, которые помогают вредоносу избежать детектирования.

Об адваре рассказали эксперты Ади Зелигсон и Ротем Кёрнер. Обычно DealPly проникает на компьютеры пользователей с установочными файлами легитимных программ.

После запуска вредонос копируется в директорию Windows %AppData% и добавляет себя в планировщик задач Windows — это гарантирует ежечасный запуск адваре. При каждом таком запуске зловред обращается к командному серверу C2 за инструкциями. Для этого посылаются специальные зашифрованные запросы через HTTP.

Сам вредонос модульный, он вполне может обнаружить виртуальную машину или снять цифровой отпечаток устройства.

А теперь самое интересное: один из последних образцов DealPly использует репутационные сервисы от Microsoft и McAfee, чтобы избежать детектирования в системе.

Речь идёт о Microsoft SmartScreen и McAfee WebAdvisor, бесплатных системах, которые используются для оценки риска файлов и ссылок. Если какой-либо из доменов был ранее занесён в чёрный список, эти сервисы предупредят об этом пользователя при попытке зайти на такой сайт.

«Мы подозреваем, что основная причина, по которой адваре использует сервисы репутации, кроется в возможности проверки своих файлов и ссылок. Если они уже были занесены в список, то нет смысла продолжать их использовать», — пишут исследователи.

В случае Microsoft SmartScreen DealPly запросит у своего командного центра хеши и URL, чтобы проверить их с помощью сервиса от Microsoft. Для этого отправляется JSON-запрос к API SmartScreen. В ответ сервис может прислать одно из трех состояний:

  • UNKN — неизвестный файл или URL.
  • MLWR — вредоносный файл или URL.
  • PHSH — фишинговый файл или URL.

Стоит отметить, что API SmartScreen нигде подробно не расписано, это значит, что киберпреступники проделали большую работу — провели обратный инжиниринг механизма SmartScreen.

Следующая главная новость »
AM LiveКарьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Мошенники крадут личности туристов для обмана других путешественников
Татьяна Никитина 16 Января 2026 - 19:12
ФишингМошенничествоОнлайн-мошенничество Домашние пользователи
Мошенники крадут личности туристов для обмана других путешественников

Облюбовавшие Telegram мошенники предлагают аренду жилья российским любителям отдыха за рубежом, используя ранее украденные личные данные других обманутых туристов. Тренд уже приобрел массовый характер.

Целью данной аферы является отъем денег под предлогом оплаты брони. Очередное свидетельство подобного мошенничества представлено в телеграм-канале «База».

Задумав поездку в Таиланд, жительница Тулы Анастасия обратилась за помощью к менеджеру из контактов Дарьи Ловчевой. Та предложила несколько вариантов проживания в Пхукете и посоветовала почитать отзывы в созданной ею профильной группе.

После выбора претендентка скинула свои паспортные данные и внесла предоплату в размере 30%. Когда ей сообщили о необходимости уплаты еще 50% стоимости аренды, россиянка заподозрила подвох и потребовала возврат, однако собеседница исчезла из чата.

Как выяснилось, мошеннический сервис гостеприимства объявился в мессенджере в результате кражи личности Дарьи Логачевой, совершенной при аналогичном бронировании тайского жилья. Новоявленная туристка из Тулы теперь переживает, что ее данные тоже могут быть использованы для обмана других путешественников.

Схожим образом злоумышленники крадут деньги у желающих отдохнуть во Вьетнаме, Франции, Италии, Индонезии. Менее изощренные мошеннические схемы, ориентированные на туристов, обычно используют обзвон либо фишинговые сайты, активно плодящиеся перед долгими праздниками и в сезон летних отпусков.

AM LiveКарьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »
ГК Солар запатентовала технологию выявления ботов на уровне HTTPS
Новость
ГК Солар запатентовала технологию выявления ботов на уровне...
Комитет Госдумы предложил запретить сайты-двойники с данными о недвижимости
Новость
Комитет Госдумы предложил запретить сайты-двойники с данными...
Cloud Atlas маскирует атаки под программу форума «Зерно и масличные 2025»
Новость
Cloud Atlas маскирует атаки под программу форума «Зерно и ма...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.