Mã độc quảng cáo DealPly “sống ký sinh” trong máy tính nhờ McAfee và các dịch vụ của Microsoft

Adware DealPly trống tránh dò tìm vi-rút

Các nhà nghiên cứu gần đây đã phát hiện ra một biến thể của adware (mã độc quảng cáo) mang tên DealPly, có khả năng thoát khỏi các cuộc truy quét của phần mềm anti-virus chuyên dụng. Đặc biệt hơn, DealPly lợi dụng các kẽ hở của McAfee và các dịch vụ của Microsoft

Adware DealPly sở hữu các đặc điểm để vượt qua các biện pháp bảo mật thông thường. Adware này sẽ lạm dụng các dịch vụ danh tiếng của McAfee và Microsoft để tránh né hệ thống dò tìm vi-rút.

Adware DealPly trốn tránh các hoạt động chống vi-rút

Các nhà nghiên cứu từ Ensilo đã trình bày phân tích của họ về một biến thể alware mới mang tên DealPly. Adware này có khả năng trốn tránh sự phát hiện của các hoạt động chống vi-rút bằng cách lạm dụng các dịch vụ danh tiếng. Các nhà nghiên cứu đã mô tả những phát hiện của mình trong một bài đăng mới đây trên blog.

Như được giải thích, phần mềm độc hại sở hữu nhiều tính năng cho phép trốn tránh các giao thức bảo mật, chẳng hạn như VM detection, theo dõi fingerprinting và còn có khả năng lạm dụng một loạt các dịch vụ Microsoft SmartScreen và McAfee WebIDIA để bỏ qua các hoạt động dò tìm và phát hiện vi-rút.

Ba giai đoạn thực hiện cuộc tấn công DealPly

Đi sâu vào các kỹ thuật liên quan đến phần mềm độc hại này cho thấy về cơ bản adware bao gồm nhiều mô-đun hoạt động trong ba giai đoạn khác nhau để thực hiện các cuộc tấn công.

adware DealPly
Source: Ensilo

Quan trọng nhất trong số các mô-đun này là “WB_CH33.dll” mang các chức năng cốt lõi của phần mềm độc hại. Nó ra lệnh và thực thi các mô-đun khác, bên cạnh đó còn thực hiện kiểm tra định vị địa lý để lưu mã quốc gia.

Cuộc tấn công DealPly bắt đầu khi adware tiếp cận thiết bị nạn nhân thông qua các trình cài đặt phần mềm hợp pháp từ các dịch vụ. Các nhà nghiên cứu đã bắt gặp adware này đi kèm với trình cài đặt (installer) cho phần mềm chỉnh sửa ảnh ‘Fotor’.

Adware thực thi đồng thời cùng trình cài đặt như một phần của quy trình thiết lập. Sau đó, nó tự sao chép trên thư mục AppData và Trình lập lịch tác vụ Windows (Windows Task Scheduler). Điều này cho phép adware thực thi các hoạt động độc hại hàng giờ, đồng thời qua mỗi lần lại gửi các yêu cầu được mã hóa qua HTTP đến C&C. Mô-đun chính “WB_CH33.dll” sẽ tiếp nhận các lệnh sau đó.

Khi một yêu cầu hợp lệ được gửi đến máy chủ, nó sẽ phản hồi với việc chuyển hướng máy khách đến d1oz9ywjzmvfb5.cloudfront.net. Miền này đang trỏ đến một trong các máy chủ S3 của Amazon. Phản hồi chứa các hướng dẫn cũng như mô-đun chính sẽ được thực thi.

Trong suốt quá trình này, adware cũng sẽ gửi dữ liệu đến C&C liên quan tới VM detection và fingerprinting máy chủ.

Chiến lược trốn tránh phát hiện

Như đã nêu ở trên, DealPly lạm dụng Microsoft SmartScreen và McAfee WebIDIA để không bị phát hiện.

Liên quan đến việc lạm dụng các dịch vụ này, các nhà nghiên cứu cho biết Microsoft SmartScreen và McAfee WebIDIA cung cấp các phán quyết về threat intelligence (thông tin xác định mối đe dọa) trên các tệp và URL, đồng thời được hoàn toàn miễn phí sử dụng.

Với dữ liệu từ các dịch vụ này, tuổi thọ của trình cài đặt và các thành phần adware có thể được kéo dài vì các thay đổi chỉ được yêu cầu khi chúng bị liệt vào danh sách đen. Truy vấn liên tục này cho phép kẻ tấn công khám phá ra tỷ lệ phát hiện adware bằng các phần mềm chống vi-rút và tạo ngay các mẫu mới khi được yêu cầu. Do đó, cuộc tấn công phần mềm độc hại trở nên vô cùng khó phát hiện và ngăn chặn.

LHN