Microsoft Defender детектирует HOSTS, блокирующий отправку телеметрии

Microsoft Defender детектирует HOSTS, блокирующий отправку телеметрии

Microsoft Defender детектирует HOSTS, блокирующий отправку телеметрии

С конца июля Microsoft детектирует файлы HOSTS, блокирующие связь Windows 10 с серверами телеметрии. Встроенная антивирусная программа Microsoft Defender классифицирует изменённые HOSTS-файлы как «SettingsModifier:Win32/HostsFileHijack».

Напомним, что соответствующие файлы располагаются в директории C:\Windows\system32\driver\etc\HOSTS. Чтобы изменить их содержимое, пользователь должен действовать с правами администратора.

Благодаря HOSTS можно резолвить имена хостов в IP-адреса в обход Domain Name System (DNS). Часто эти файлы используются для блокировки конкретных веб-сайтов («направляя» их на 127.0.0.1 или 0.0.0.0).

Microsoft Defender и раньше детектировал модифицированные файлы HOSTS, однако в последнее время появились многочисленные жалобы на срабатывание антивируса (1, 2, 3).

 

После этого на проблему обратили внимание специалисты компании BornCity. Поскольку HOSTS уже давно не используются в атаках, исследователи сделали вывод, что всё дело в ложном срабатывании.

Издание BleepingComputer провело своё тестирование, в ходе которого эксперты пробовали заблокировать разные сайты с помощью HOSTS. Как только дело дошло до блокировки серверов Microsoft, на которые отправляются данные телеметрии, встроенный антивирус тут же начал «ругаться».

 

В связи с этим исследователи не рекомендуют блокировать в HOSTS следующие адреса:

  • www.microsoft.com
  • microsoft.com
  • telemetry.microsoft.com
  • wns.notify.windows.com.akadns.net
  • v10-win.vortex.data.microsoft.com.akadns.net
  • us.vortex-win.data.microsoft.com
  • us-v10.events.data.microsoft.com
  • urs.microsoft.com.nsatc.net
  • watson.telemetry.microsoft.com
  • watson.ppe.telemetry.microsoft.com
  • vsgallery.com
  • watson.live.com
  • watson.microsoft.com
  • telemetry.remoteapp.windowsazure.com
  • telemetry.urs.microsoft.com
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Дропперские карты пропали с черного рынка

С чёрного рынка практически исчезли так называемые дропперские комплекты — наборы, состоящие из платёжных карт, сим-карт и копий паспортов их владельцев. Это стало результатом мер, принятых регуляторами для противодействия теневым операциям.

Как рассказал «Известиям» основатель сервиса DLBI Ашот Оганесян, в мае предложения подобных комплектов практически исчезли. Обычно такие данные предоставляли сами граждане — либо из корыстных побуждений, либо по незнанию.

При этом спрос со стороны мошенников, использующих такие комплекты для вывода средств, остаётся высоким. Эту информацию подтвердили также представители компаний F6, «Телеком биржа» и Phishman.

Руководитель направления информационной безопасности «Телеком биржи» Александр Блезнеков назвал дефицит дропперских комплектов прямым следствием новых ограничений Банка России. В частности, если человек внесён в специальную базу дропов, сумма переводов с его карт ограничивается 100 тыс. рублей в месяц.

Кроме того, по словам эксперта, внедрены новые механизмы контроля с использованием технологий искусственного интеллекта. В результате дропперская карта может быть заблокирована в течение суток. В некоторых случаях, например, при операциях с небольшими суммами в составе «ферм», срок может быть чуть дольше.

Злоумышленники, в свою очередь, пытаются адаптироваться и продлить срок жизни таких карт. Один из популярных приёмов — так называемый «прогрев»: длительное использование карты для легальных транзакций перед применением в мошеннической схеме.

Тем не менее, как считают эксперты, у преступников ещё остались запасы ранее приобретённых комплектов. Кроме того, чёрный рынок — не единственный источник: платёжные реквизиты могут оформляться и на похищенные персональные данные случайных граждан.

Злоумышленники также активнее используют альтернативные схемы вывода средств. В частности, всё чаще средства обналичиваются через курьеров, либо переводятся на криптовалютные кошельки.

Генеральный директор Phishman Алексей Горелкин считает текущее снижение предложения временным и ожидает, что ситуация начнёт меняться уже в ближайший месяц. Однако, как уточнил Ашот Оганесян, стоимость комплектов вырастет существенно — выше прежнего уровня в 15–20 тыс. рублей.

По мнению Горелкина, новые меры, в том числе ограничение на количество карт, которые можно оформить на одно лицо, а также уголовная ответственность за участие в схемах дропперства, усиливают риски для продавцов. В результате, полагает эксперт, злоумышленники будут чаще использовать криптовалюту как основной инструмент для вывода средств.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru