Specjaliści ds. Bezpieczeństwa odkryli nowy wariant DealPly, który wykorzystuje Microsoft SmartScreen API w celu uniknięcia wykrycia.

Co to jest DealPly i jak działa?

Jeśli jeszcze tego nie wiesz, DealPly to odmiana adware, która instaluje rozszerzenia przeglądarki w przeglądarce i wyświetla s. Aby pozostać niewykrytym, narusza usługi reputacji Microsoft.

Oto jak opisuje zespół badawczy enSilo, który odkrył wtargnięcie:

Oprócz modułowego kodu, odcisków palców maszynowych, technik wykrywania maszyn wirtualnych i solidnej infrastruktury centrum kontroli, najbardziej intrygującym odkryciem był sposób, w jaki DealPly nadużywa usług reputacyjnych Microsoft i McAfee, aby pozostać pod kontrolą.

Mimo że program Windows Defender SmartScreen ma ostrzegać użytkowników systemu Windows 10, gdy uzyskują dostęp do domen ze złośliwym oprogramowaniem lub potencjalnym atakiem typu phishing, DealPly ominął je.

Robi to, wykorzystując zainfekowane komputery z systemem Windows 10 i wykorzystując je do dalszego rozprzestrzeniania infekcji.

DealPly korzysta z żądań API opartych na JSON, a następnie wysyła informacje do serwera reputacji SmartScreen, czeka na odpowiedź, a gdy je otrzymuje, zbiera dane i odsyła je z powrotem do serwera C2 DealPly.

Nie używam systemu Windows 10. Czy DealPly może mieć na mnie wpływ?

Warto wspomnieć, że DealPly obsługuje wiele wersji nieudokumentowanego API SmartScreen. Oznacza to, że ma zdolność infekowania wielu wersji systemu Windows, nie tylko Windows 10, jak wyjaśniają badacze:

Należy zauważyć, że interfejs API SmartScreen jest nieudokumentowany. Oznacza to, że autor włożył wiele wysiłku w inżynierię wsteczną wewnętrznych mechanizmów mechanizmu SmartScreen.

Aby zapewnić bezpieczeństwo komputera, upewnij się, że zawsze aktualizujesz system Windows, korzystasz z oprogramowania antymalware lub rozwiązania antywirusowego i surfujesz po Internecie w przeglądarce opartej na prywatności.