Raziskovalci za varnost so odkrili novo različico DealPly, ki zlorablja Microsoftov SmartScreen API, da se izogne ​​odkrivanju.

Kaj je DealPly in kako deluje?

Če še niste vedeli, je DealPly sev adware, ki na vaš brskalnik namesti razširitve brskalnika in prikaže s. Če ostane neodkrita, zlorablja Microsoftove storitve ugleda.

Takole opisuje raziskovalna skupina podjetja EnSilo, ki je odkrila vdor:

Poleg modularne kode, strojnega odstranjevanja prstnih odtisov, tehnik odkrivanja VM in robustne infrastrukture C&C je bilo najbolj zanimivo odkritje, kako DealPly zlorablja storitve Microsoft in McAfee ugled, da ostajajo pod radarjem.

Čeprav je program Windows Defender SmartScreen zasnovan tako, da opozarja uporabnike sistema Windows 10, ko dostopajo do domen z zlonamerno programsko opremo ali možnosti lažnega predstavljanja, ga je DealPly zaobšel.

To storite tako, da izkoristite okužene osebne računalnike z Windows 10 in jih uporabite za nadaljnjo distribucijo okužbe.

DealPly uporablja zahteve API-ja, ki temeljijo na JSON, nato pošlje informacije na strežnik ugleda SmartScreen, počaka na odgovor in ko ga prejme, zbira podatke in jih pošlje nazaj na strežnik C2 DealPly-ja C2.

Ne uporabljam sistema Windows 10. Ali lahko DealPly vpliva na mene?

Omeniti velja, da ima DealPly podporo za več različic nedokumentiranega API-ja SmartScreen. To pomeni, da ima možnost okužbe več različic sistema Windows, ne le Windows 10, kot pojasnjujejo raziskovalci:

Pomembno je upoštevati, da je SmartScreen API nedokumentiran. To pomeni, da je avtor vložil veliko truda v obratno inženirstvo notranjega delovanja mehanizma SmartScreen.

Če želite računalnik varovati, poskrbite, da boste vedno posodabljali svoj Windows, uporabljali antimalware ali protivirusno rešitev in brskali po spletu v brskalniku, ki temelji na zasebnosti.