Mã độc quảng cáo DealPly “sống ký sinh” trong máy tính nhờ McAfee và các dịch vụ của Microsoft

Các nhà nghiên cứu gần đây đã phát hiện ra một biến thể của adware (mã độc quảng cáo) mang tên DealPly, có khả năng thoát khỏi các cuộc truy quét của phần mềm anti-virus chuyên dụng. Đặc biệt hơn, DealPly lợi dụng các kẽ hở của McAfee và các dịch vụ của Microsoft



Adware DealPly sở hữu các đặc điểm để vượt qua các biện pháp
bảo mật thông thường. Adware này sẽ lạm dụng các dịch vụ danh tiếng của McAfee
và Microsoft để tránh né hệ thống dò tìm vi-rút.



Adware DealPly trốn tránh các hoạt động chống vi-rút



Các nhà nghiên cứu từ Ensilo đã trình bày phân tích của họ về một biến
thể alware mới mang tên DealPly. Adware này có khả năng trốn tránh sự phát hiện
của các hoạt động chống vi-rút bằng cách lạm dụng các dịch vụ danh tiếng. Các
nhà nghiên cứu đã mô tả những phát hiện của mình trong một bài đăng mới đây trên
blog.



Như được giải thích, phần mềm độc hại sở hữu nhiều tính năng
cho phép trốn tránh các giao thức bảo mật, chẳng hạn như VM detection, theo dõi
fingerprinting và còn có khả năng lạm dụng một loạt các dịch vụ Microsoft
SmartScreen và McAfee WebIDIA để bỏ qua các hoạt động dò tìm và phát hiện vi-rút.




Ba giai đoạn thực hiện cuộc tấn công DealPly



Đi sâu vào các kỹ thuật liên quan đến phần mềm độc hại này
cho thấy về cơ bản adware bao gồm nhiều mô-đun hoạt động trong ba giai đoạn
khác nhau để thực hiện các cuộc tấn công.



Source: Ensilo Quan trọng nhất trong số các mô-đun này là “WB_CH33.dll” mang
các chức năng cốt lõi của phần mềm độc hại. Nó ra lệnh và thực thi các mô-đun
khác, bên cạnh đó còn thực hiện kiểm tra định vị địa lý để lưu mã quốc gia.



Cuộc tấn công DealPly bắt đầu khi adware tiếp cận thiết bị nạn
nhân thông qua các trình cài đặt phần mềm hợp pháp từ các dịch vụ. Các nhà
nghiên cứu đã bắt gặp adware này đi kèm với trình cài đặt (installer) cho
phần mềm chỉnh sửa ảnh ‘Fotor’.



Adware thực thi đồng thời cùng trình cài đặt như một phần của
quy trình thiết lập. Sau đó, nó tự sao chép trên thư mục AppData và Trình lập lịch
tác vụ Windows (Windows Task Scheduler) . Điều này cho phép adware thực
thi các hoạt động độc hại hàng giờ, đồng thời qua mỗi lần lại gửi các yêu cầu
được mã hóa qua HTTP đến C&C. Mô-đun chính “WB_CH33.dll” sẽ tiếp nhận các lệnh
sau đó.



Khi một yêu cầu hợp lệ được gửi đến máy chủ, nó sẽ phản hồi
với việc chuyển hướng máy khách đến d1oz9ywjzmvfb5.cloudfront.net. Miền này
đang trỏ đến một trong các máy chủ S3 của Amazon. Phản hồi chứa các hướng dẫn
cũng như mô-đun chính sẽ được thực thi.



Trong suốt quá trình này, adware cũng sẽ gửi dữ liệu đến C&C
liên quan tới VM detection và fingerprinting máy chủ.




Chiến lược trốn tránh phát hiện



Như đã nêu ở trên, DealPly lạm dụng Microsoft SmartScreen và
McAfee WebIDIA để không bị phát hiện.



Liên quan đến việc lạm dụng các dịch vụ này, các nhà nghiên cứu cho biết Microsoft SmartScreen và McAfee WebIDIA cung cấp các phán quyết về threat intelligence (thông tin xác định mối đe dọa) trên các tệp và URL, đồng thời được hoàn toàn miễn phí sử dụng.



Với dữ liệu từ các dịch vụ này, tuổi thọ của trình cài đặt và các thành phần adware có thể được kéo dài vì các thay đổi chỉ được yêu cầu khi chúng bị liệt vào danh sách đen. Truy vấn liên tục này cho phép kẻ tấn công khám phá ra tỷ lệ phát hiện adware bằng các phần mềm chống vi-rút và tạo ngay các mẫu mới khi được yêu cầu. Do đó, cuộc tấn công phần mềm độc hại trở nên vô cùng khó phát hiện và ngăn chặn.



LHN
The post Mã độc quảng cáo DealPly “sống ký sinh” trong máy tính nhờ McAfee và các dịch vụ của Microsoft appeared first on SecurityDaily .