En ny DealPly-variant som misbruker Microsofts SmartScreen API for å unngå oppdagelse ble oppdaget av sikkerhetsforskere.

Hva er DealPly og hvordan det fungerer?

Hvis du ikke allerede visste det, er DealPly en adware-stamme som installerer nettleserutvidelser i nettleseren din og viser s. For å forbli uoppdaget misbruker den Microsofts omdømmetjenester.

Slik beskriver enSilos forskerteam, som oppdaget inntrengingen, det:

Foruten modulær kode, maskinavtrykkavtrykk, VM-deteksjonsteknikker og robust C & C-infrastruktur, var den mest spennende oppdagelsen måten DealPly misbruker omdømmetjenestene til Microsoft og McAfee for å forbli under radaren.

Selv om Windows Defender SmartScreen er designet for å advare brukere av Windows 10 når de får tilgang til domener med skadelig programvare eller phishing-potensial, omgås DealPly det.

Det gjør det ved å dra nytte av infiserte Windows 10-PCer og bruke dem til å distribuere infeksjonen ytterligere.

DealPly bruker JSON-baserte API-forespørsler, sender deretter informasjon til SmartScreen sin omdømmeserver, venter på svaret og når den får den, samler den inn data og sender den tilbake til DealPlys C2-server.

Jeg bruker ikke Windows 10. Kan DealPly påvirke meg?

Det er verdt å nevne at DealPly har støtte for flere versjoner av det udokumenterte SmartScreen API. Dette betyr at den har muligheten til å infisere flere Windows-versjoner, ikke bare Windows 10, slik forskere forklarer:

Det er viktig å merke seg at SmartScreen API ikke er dokumentert. Dette betyr at forfatteren har lagt ned mye arbeid i omvendt prosjektering av den indre funksjonen til SmartScreen-mekanismefunksjonen.

For å holde PCen trygg, må du sørge for at du alltid holder Windows oppdatert, bruker en antimalware eller en antivirusløsning og surfer på nettet i en personvernbasert nettleser.