Saugumo tyrinėtojai atrado naują „DealPly“ variantą, kuris piktnaudžiauja „Microsoft“ „SmartScreen“ API, kad būtų išvengta aptikimo.

Kas yra „DealPly“ ir kaip jis veikia?

Jei dar nežinojote, „DealPly“ yra reklaminės programos padermė, kuri įdiegia naršyklės plėtinius jūsų naršyklėje ir rodo s. Kad neliktų nepastebėtas, tai piktnaudžiauja „Microsoft“ reputacijos paslaugomis.

Štai kaip „EnSilo“ tyrimo komanda, atradusi įsilaužimą, apibūdina jį:

Be modulinio kodo, mašinų pirštų atspaudų paėmimo, VM aptikimo metodų ir stiprios C&C infrastruktūros, labiausiai intriguojantis atradimas buvo būdas, kuriuo „DealPly“ piktnaudžiauja „Microsoft“ ir „McAfee“ reputacijos tarnybomis, kad liktų po radaru.

Nors „Windows Defender SmartScreen“ yra skirtas įspėti „Windows 10“ vartotojus, kai jie pasiekia domenus, kuriuose yra kenkėjiškų programų ar sukčiavimo galimybių, „DealPly“ jį aplenkė.

Tai daro pasinaudodama užkrėstų „Windows 10“ asmeninių kompiuterių pranašumais ir naudodama juos tolimesniam infekcijos platinimui.

„DealPly“ naudoja JSON pagrįstas API užklausas, tada siunčia informaciją „SmartScreen“ reputacijos serveriui, laukia atsakymo ir, kai jį gauna, renka duomenis ir siunčia atgal į „DealPly“ C2 serverį.

Aš nenaudoju „Windows 10“. Ar „DealPly“ galėtų mane paveikti?

Verta paminėti, kad „DealPly“ palaiko daugybę nepateiktų „SmartScreen“ API versijų. Tai reiškia, kad jis turi galimybę užkrėsti ne tik „Windows 10“, bet ir kelias „Windows“ versijas, kaip aiškina tyrėjai:

Svarbu pažymėti, kad „SmartScreen“ API nėra dokumentų. Tai reiškia, kad autorius įdėjo daug pastangų, kad pakeistų vidinį „SmartScreen“ mechanizmo veikimą.

Norėdami apsaugoti savo kompiuterį, įsitikinkite, kad visada atnaujinate „Windows“, naudojate kovos su kenkėjiška programa ar antivirusinius sprendimus ir naršote internete naudodami privatumo palaikomą naršyklę.