Comments 6
Из скриншота непонятно, а до скачивания ВПО откуда взялся адрес msftconnect... Дипломаты искали "какой-нибудь бесплатный антивирус"?
откуда взялся адрес msftconnect.
современная винда так проверяет наличие доступа в Интернет:
01-Aug-2025 25:64:31.003 queries: info: client @0x********* 192.168.**** #49999 (www.msftconnecttest.com): view intranet: query: www.msftconnecttest.com IN A +
я обычно заворачиваю это на 127.0.0.1 (авось не будет сливать телеметрию. хотя конечно же будет), пользователи пугаются - у них в трее "ошибка", приходится объяснять.
к сожалению с андроидами фокус не проходит - они действительно считают что через этот wifi Интернета нет и много чего работать не будет. то же и фирменные проверки Xiaome, Samsung, Huawei, и т.д.
шпионаж ведётся на уровне интернет-провайдеров
если я правильно понял, хакеры договорились с провайдерами завернуть это на свой ресурс. возможно через "Нацональную систему доменных имен" или как называется РКН-приблуда для обмана юзерских резолверов.
через эту проверку оказлось можо впарить свои самоходные программы - для меня сюрприз.
Хакерская группа Turla (другие названия — Secret Blizzard, Snake, Venomous Bear) действует более 25 лет.
ого ! такие же олдовые как сам Касперский ! ... помню была такая книжка "Пишем вирус и анти-вирус". нуивот.
Secret Blizzard is facilitated by an AiTM position at the ISP/Telco level inside Russia, in which the actor redirects target devices by putting them behind a captive portal. Captive portals are legitimate web pages designed to manage network access, such as those encountered when connecting to the internet at a hotel or airport. Once behind a captive portal, the Windows Test Connectivity Status Indicator is initiated—a legitimate service that determines whether a device has internet access by sending an HTTP GET request to hxxp://www.msftconnecttest[.]com/redirect which should direct to msn[.]com.
Какие-нибудь пруфы будут, что именно со стороны ISP, а не вклинился кто-то на полпути? Нет.
То есть эту старую дырень с captive portals Microsoft никак прикрывать не собирается. Ибо это не менее, чем социнженерия. Искоренить не удастся, но поработать в этом направлении было бы можно. А всё что они предлагают, это посмотреть логи через свой IDS (а дальше сосать лапу):
Microsoft Defender XDR customers can run the following query to find related activity in their networks:
По поводу внедрения сертификата в Firefox (у него свое хранилище) у меня один вопрос: нынешние антивирусы (не в конкретном случае, а вообще) как-то вот такой доступ к браузерам активно предотвращают? Браузеры сколько угодно могут внутри себя защищаться, но внешние модификации явно за пределами их ответственности.
Microsoft считает эту атаку первой известной, когда шпионаж ведётся на уровне интернет-провайдеров.
Пусть (неправильно) считают. Для меня врезка lawful interception -- одного поля ягода. Зафиксирован перехват шифрованного трафика jabber.ru и xmpp.ru
ЛжеКасперского видел ещё лет двадцать назад, только имитировал деятельность и не имел штатной функции удаления, типичный лжеантивирус, коих одно время было много, кто-то имитировал существующую программу, кто-то "создавал свою" типа Unigray Antivirus.
Microsoft выявила кибератаку с использованием ВПО под видом антивируса «Лаборатории Касперского»