Cercetătorii de securitate au descoperit o nouă variantă DealPly care abuzează de API-ul SmartScreen Microsoft pentru a evita detectarea.

Ce este DealPly și cum funcționează?

Dacă nu știați deja, DealPly este un program adware care instalează extensii de browser în browserul dvs. și afișează s. Pentru a rămâne nedetectat, abuzează de serviciile de reputație Microsoft.

Iată cum descrie echipa de cercetare a EnSilo, care a descoperit intruziunea:

Pe lângă codul modular, amprenta automată a mașinilor, tehnicile de detectare a VM și infrastructura robustă C&C, cea mai interesantă descoperire a fost modul în care DealPly abuzează serviciile de reputație Microsoft și McAfee pentru a rămâne sub radar.

Chiar dacă Windows Defender SmartScreen este proiectat pentru a avertiza utilizatorii Windows 10 atunci când accesează domenii cu malware sau potențial de phishing, DealPly a ocolit-o.

Face acest lucru profitând de PC-urile Windows 10 infectate și folosindu-le pentru a distribui în continuare infecția.

DealPly folosește cererile API bazate pe JSON, apoi trimite informații către serverul de reputație al SmartScreen, așteaptă răspunsul și atunci când îl primește, colectează date și le trimite înapoi pe serverul C2 al DealPly.

Nu folosesc Windows 10. Ar putea afecta DealPly să mă afecteze?

Merită menționat faptul că DealPly are suport pentru mai multe versiuni ale API-ului indocumentat SmartScreen. Aceasta înseamnă că are capacitatea de a infecta mai multe versiuni de Windows, nu doar Windows 10, după cum explică cercetătorii:

Este important de reținut faptul că API-ul SmartScreen este nedocumentat. Aceasta înseamnă că autorul a depus mult efort în inginerie inversă, funcționarea interioară a mecanismului SmartScreen.

Pentru a vă păstra computerul în siguranță, asigurați-vă că vă păstrați întotdeauna Windows-ul la curent, utilizați un antimalware sau o soluție antivirus și navigați pe web într-un browser bazat pe confidențialitate.