Drošības pētnieki atklāja jaunu DealPly variantu, kas ļaunprātīgi izmanto Microsoft SmartScreen API, lai izvairītos no atklāšanas.

Kas ir DealPly un kā tas darbojas?

Ja jūs vēl nezinājāt, DealPly ir reklāmprogrammatūru celms, kas pārlūkprogrammā instalē pārlūka paplašinājumus un parāda s. Lai nepaliktu pamanīts, tas ļaunprātīgi izmanto Microsoft reputācijas pakalpojumus.

Lūk, kā to raksturo enSilo pētniecības komanda, kas atklāja ielaušanos:

Papildus modulārajam kodam, mašīnu pirkstu nospiedumu noņemšanai, VM noteikšanas paņēmieniem un spēcīgai C&C infrastruktūrai visintriģējošākais atklājums bija veids, kā DealPly ļaunprātīgi izmanto Microsoft un McAfee reputācijas pakalpojumus, lai paliktu zem radara.

Pat ja Windows Defender SmartScreen ir paredzēts brīdināt Windows 10 lietotājus, kad viņi piekļūst domēniem ar ļaunprātīgu programmatūru vai pikšķerēšanas potenciālu, DealPly to apieja.

Tas tiek darīts, izmantojot inficēto Windows 10 personālo datoru priekšrocības un izmantojot tos, lai turpinātu izplatīt infekciju.

DealPly izmanto uz JSON balstītus API pieprasījumus, pēc tam nosūta informāciju uz SmartScreen reputācijas serveri, gaida atbildi un, kad to saņem, tas apkopo datus un nosūta atpakaļ uz DealPly C2 serveri.

Es neizmantoju sistēmu Windows 10. Vai DealPly varētu mani ietekmēt?

Ir vērts pieminēt, ka DealPly atbalsta vairākas nedokumentētas SmartScreen API versijas. Tas nozīmē, ka tai ir iespēja inficēt vairākas Windows versijas, ne tikai Windows 10, kā skaidro pētnieki:

Ir svarīgi atzīmēt, ka SmartScreen API nav dokumentēta. Tas nozīmē, ka autors ir pielicis daudz pūļu, lai pārveidotu SmartScreen mehānisma funkcijas iekšējo darbību.

Lai nodrošinātu datora drošību, pārliecinieties, vai vienmēr atjaunināt sistēmu Windows, izmantojat pretprogrammatūru vai pretvīrusu risinājumu un sērfojat tīmeklī ar konfidencialitāti balstītā pārlūkprogrammā.