تبلیغ افزار Dealply از سرویس SmartScreen مایکروسافت برای در امان نگه داشتن خود بهره میبرد
محققان امنیتی نوع جدیدی از تبلیغ افزار Dealply را کشف کردند که از یک روش تازه برای جلوگیری از شناسایی توسط سرویس شناسایی توسعه داده شده توسط صفحه هوشمند (SmartScreen) مایکروسافت و نرمافزار WebAdvisor مکآفی سوءاستفاده میکند.
Dealply یک تبلیغ افزار است که به طور معمول برای نمایش تبلیغات، افزونههایی بر روی مرورگر قربانی نصب میکند و بر طبق گفته گروه تحقیقاتی enSilo که این مشکل جدید را کشف کردهاند، این تبلیغ افزار همچنین دارای کد مدولار، انگشت نگاری ماشینی، تکنیکهای تشخیص vm و زیرساختهای C&C (فرماندهی و کنترل) قوی میباشد.
به گفته تتیم تحقیقاتی enSilo احتمال داده میشود که استفاده این تبلیغ افزار از این سرویسهای معتبر ممکن است در آینده سایتهای بارگذاری شده را به خطر بیاندازد و آنها را آلوده کند.
SmartScreen که با عنوان صفحه هوشمند ویندوز دیفندر (Windows Defender SmartScreen) شناخته میشود، با هدف هشدار به کاربران ویندوز هنگام بازید از دامنههای مخرب که قبلاً در حملات نرمافزاری و فیشنیگ و یا هنگام دانلود برنامههای مخرب مورد استفاده قرار گرفتهاند، طراحی شده است.
اگر یک کاربر ویندوز سعی کند که به یک دامنه یا برنامه مخرب دسترسی پیدا کند، یک اخطار نشان داده میشود که باید با احتیاط عمل کند.
DealPly برای جلوگیری از قرار گرفتن در لیست سیاه مایکروسافت (زمانی که از لیست های معتبر خود استفاده میکند) از ماشینهایی استفاده میکند که قادر به آلوده کردن این لیستها هستند.
ماژول تبلیغ افزار SmartScreen یک درخواست خالی به سرور ارسال میکند تا درباره دامنه هش شده و آدرس URL، اطلاع پیدا کند. Dealply نیز با دستکاری پاسخی که قرار است به این درخواست داده شود، خود را از لیست سیاه خارج میکند.
همچنین اطلاعات جمع آوری شده به سرور Dealply ارسال میشود تا آن ها از دامنهها و یا نصب کنندههایی که توسط SmartScreen به عنوان عامل مخرب شناسایی میشوند، اطلاع پیدا کنند و با کنار هم قرار دادن این اطلاعات بتوانند SmartScreen را مهندسی معکوس کرده و مکانیزمی شبیه آن طراحی کنند.
سرویس شناسایی اعتبار تبلیغات مکآفی (McAfee) یک ابزار رایگان است که سطح ایمنی وب سایتها را با استفاد از اطلاعات جمع آوری شده توسط خزنده وب (Web Crawler) خودش که شامل بررسی اسپمها و محتوای مخرب است، ردیابی و گزارش میکند.
این روش با بررسی اینکه آیا نسخه خاصی از شناساگر تبلیغ روی سایت نصب شده یا نه، شروع میشود، و اگر وجود داشته باشد، تلاش میکند تا از آن پرسوجو کند.
DealPly با استفاده از آدرس اینترنتی ( https://webadvisorc.rest.gti.mcafee.com/1 ) درخواستی را به سرویس شناساگر ارسال میکند و ارزش اعتبار دامنه بررسی شده را از پاسخ دریافتی استخراج میکند و این اطلاعات به سرورهایش تحویل داده میشود تا خود را با اطلاعاتی که شامل دامنهها و نصب کنندههای ناامن شناسایی شده است، بهروز کند.
به کمک این اطلاعات نصب کننده تبلیغ افزارها عمر طولانیتری میکنند و زمانی که به لیست سیاه این سرویسها دسترسی داشته باشند، میتوانند در صورت لزوم با تغییر دادن خود، از این لیست سیاه خارج شوند.