Адваре DealPly использует Microsoft SmartScreen и McAfee WebAdvisor

Олег Иванов 02 Августа 2019 - 16:16

Домашние пользователи

Корпорации

McAfee

Microsoft

Потенциально опасные программы

Рекламные программы

...

Адваре DealPly использует Microsoft SmartScreen и McAfee WebAdvisor

Исследователи обратили внимание на новое интересное адваре под названием DealPly. Его особенность заключается в использовании сервисов Microsoft и McAfee, которые помогают вредоносу избежать детектирования.

Об адваре рассказали эксперты Ади Зелигсон и Ротем Кёрнер. Обычно DealPly проникает на компьютеры пользователей с установочными файлами легитимных программ.

После запуска вредонос копируется в директорию Windows %AppData% и добавляет себя в планировщик задач Windows — это гарантирует ежечасный запуск адваре. При каждом таком запуске зловред обращается к командному серверу C2 за инструкциями. Для этого посылаются специальные зашифрованные запросы через HTTP.

Сам вредонос модульный, он вполне может обнаружить виртуальную машину или снять цифровой отпечаток устройства.

А теперь самое интересное: один из последних образцов DealPly использует репутационные сервисы от Microsoft и McAfee, чтобы избежать детектирования в системе.

Речь идёт о Microsoft SmartScreen и McAfee WebAdvisor, бесплатных системах, которые используются для оценки риска файлов и ссылок. Если какой-либо из доменов был ранее занесён в чёрный список, эти сервисы предупредят об этом пользователя при попытке зайти на такой сайт.

«Мы подозреваем, что основная причина, по которой адваре использует сервисы репутации, кроется в возможности проверки своих файлов и ссылок. Если они уже были занесены в список, то нет смысла продолжать их использовать», — пишут исследователи.

В случае Microsoft SmartScreen DealPly запросит у своего командного центра хеши и URL, чтобы проверить их с помощью сервиса от Microsoft. Для этого отправляется JSON-запрос к API SmartScreen. В ответ сервис может прислать одно из трех состояний:

UNKN — неизвестный файл или URL.
MLWR — вредоносный файл или URL.
PHSH — фишинговый файл или URL.

Стоит отметить, что API SmartScreen нигде подробно не расписано, это значит, что киберпреступники проделали большую работу — провели обратный инжиниринг механизма SmartScreen.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 12 Ноября 2025 - 08:56

Соответствие законодательству РФ Общее Соответствие требованиям регуляторов

Минобороны снизило сроки уведомлений об увольнении сотрудников ИТ-компаний

Новое правительственное постановление сокращает срок, отведённый аккредитованным ИТ-компаниям для уведомления военкоматов об увольнении сотрудников, имеющих право на отсрочку от призыва, с двух недель до пяти дней.

Проект документа опубликован на портале проектов нормативных правовых актов. Он разработан в качестве подзаконного акта к новому закону о круглогодичном призыве, принятому ранее.

Согласно проекту, работа военкоматов больше не будет привязана к традиционным весенним и осенним кампаниям — призыв будет проходить в течение всего года. При этом отправка призывников в войска сохранится по прежней схеме.

Отсрочка от призыва для сотрудников аккредитованных ИТ-компаний включена в перечень мер господдержки отрасли, утверждённый в марте 2022 года. В него также вошли льготная ипотека, упрощённые процедуры найма иностранных специалистов, налоговые послабления и сниженные процентные ставки по кредитам.

Правом на отсрочку могут воспользоваться специалисты с профильным высшим образованием и соответствующей специальностью из утверждённого перечня. По данным Минцифры, этой мерой уже воспользовались более 8 тысяч человек.

Адваре DealPly использует Microsoft SmartScreen и McAfee WebAdvisor

Читайте также