Quảng cáo độc hại sử dụng chứng chỉ để vô hiệu hóa sản phẩm bảo mật
Một mẫu quảng cáo độc hại mới có tên Vonteera có khả năng lừa gạt hệ điều hành nghĩ rằng chứng chỉ số từ các công ty bảo mật là không đáng tin cậy nhằm vô hiêu hóa những phần mềm này. Công ty Anti-malware Malwarebytes đã phát hiện một mẫu adware có thể cài đặt “những chương trình không ...
Một mẫu quảng cáo độc hại mới có tên Vonteera có khả năng lừa gạt hệ điều hành nghĩ rằng chứng chỉ số từ các công ty bảo mật là không đáng tin cậy nhằm vô hiêu hóa những phần mềm này.
Công ty Anti-malware Malwarebytes đã phát hiện một mẫu adware có thể cài đặt “những chương trình không mong muốn” (PUP) và hiện tại đã phân loại đây là một Trojan do có thể thay đổi thành phần hệ thống bị lây nhiễm.
Sau khi lây nhiễm vào hệ thống, Vonteera tạo ra một vài tác vụ trong Windows Task Scheduler. Những tác vụ này được sử dụng để hiển thị quảng cáo theo khoảng thời gian định sẵn bằng cách mở một tab mới trong trình duyệt web. Mối đe dọa cũng tạo ra một service mới “appinf.exe” để thay shortcut Internet Explorer, Firefox, Chrome, Opera và Safari trên màn hình nền, taskbar và Start menu.
Thay đổi shortcut nhằm giúp Vonteera đảm bảo bất cứ khi nào một trong số ứng dụng trên được chạy, chúng sẽ tải một script được thiết kết để chuyển hướng ngẫu nhiên người dùng khi duyệt web. Trong trường hợp Internet Explorer, mối đe dọa thêm một Browser Helper Object (BHO) mới. Nếu có Chrome, nó sẽ lợi dụng ExtensionInstallForcelist key, khóa giúp xác định danh sách ứng dụng và phần mở rộng nhằm cài đặt ngầm và đoạt quyền truy cập. Những ứng dụng này không thể bị gỡ bỏ bởi người dùng.
Vonteera có khả năng thêm tổng cộng 13 chứng chỉ vào “Untrusted Certificates” trong kho lưu trữ chứng chỉ của Windows. Các chứng chỉ bảo mật dành cho ESS Distribution, Avast, AVG Technologies, Avira, Baidu, Bitdefender, ESET, Lavasoft, Malwarebytes, McAfee, Panda Security, ThreatTrack Security và Trend Micro. Sau khi thêm vào “Untrusted Certificates” , các phần mềm trên sẽ không được thực thi cũng như tải về từ website sử dụng chứng chỉ đó.
appinf.exe service được thiết kế đảm bảo ứng dụng được kí bởi chứng chỉ này không được chạy và tải lại chứng chỉ nếu người dùng loại bỏ chúng bằng tay. Do các phần mềm diệt virus sẽ bị chặn bởi User Account Control (UAC) nên người dùng có thể tắt tính năng này tạm thời để loại bỏ malware. Hoặc một lựa chọn khác để vượt qua UAC là sử dụng mẹo Task Scheduler.
Người dùng cũng có thể loại bỏ chứng chỉ tin cậy ra khỏi Untrusted Certificates thông qua trình quản lý (certmgr.msc) trên Windows.
securityweek