Изследователите по сигурността откриха нов вариант на DealPly, който злоупотребява с SmartScreen API на Microsoft, за да избегне откриването.

Какво е DealPly и как работи?

Ако още не сте знаели, DealPly е щам за рекламен софтуер, който инсталира разширения на браузъра на вашия браузър и показва s. За да остане неоткрит, той злоупотребява с репутационните услуги на Microsoft.

Ето как го описва изследователският екип на enSilo, който откри проникването:

Освен модулен код, машинно пръстово отпечатване, техники за откриване на VM и здрава C&C инфраструктура, най-интригуващото откритие беше начинът, по който DealPly злоупотребява с репутационните услуги на Microsoft и McAfee, за да остане под радара.

Въпреки че Windows Defender SmartScreen е предназначен да предупреждава потребителите на Windows 10, когато имат достъп до домейни със злонамерен софтуер или фишинг потенциал, DealPly го заобиколи.

Това прави, като се възползва от заразените компютри с Windows 10 и ги използва за по-нататъшно разпространение на инфекцията.

DealPly използва базирани на JSON заявки за API, след това изпраща информация до сървъра на репутацията на SmartScreen, изчаква отговора и когато го получи, той събира данни и го изпраща обратно на C2 сървъра на DealPly.

Не използвам Windows 10. Може ли DealPly да ме повлияе?

Заслужава да се спомене, че DealPly има поддръжка за множество версии на недокументирания API на SmartScreen. Това означава, че той има възможността да зарази множество версии на Windows, а не само Windows 10, както обясняват изследователите:

Важно е да се отбележи, че API на SmartScreen е недокументиран. Това означава, че авторът е положил много усилия за реверсивно проектиране на вътрешната работа на механизма SmartScreen.

За да сте в безопасност на компютъра си, уверете се, че винаги поддържате своя Windows актуализиран, използвайте антивирусен софтуер или антивирусно решение и сърфирайте в интернет в браузър, базиран на поверителност.