Istraživači sigurnosti otkrili su novu DealPly varijantu koja zloupotrebljava Microsoftov SmartScreen API kako bi izbjegla otkrivanje.

Što je DealPly i kako funkcionira?

Ako već niste znali, DealPly je soj adware koji instalira ekstenzije preglednika na vaš preglednik i prikazuje s. Ako ostane neotkriven, zloupotrebljava Microsoftove usluge ugleda.

Evo kako to opisuje istraživački tim enSila, koji je otkrio upad:

Osim modularnog koda, strojnog otiska prsta, tehnika otkrivanja VM-a i robusne C&C infrastrukture, najintrigantnije otkriće bio je način na koji DealPly zloupotrebljava Microsoft i McAfee ugledne usluge da ostanu ispod radara.

Iako je Windows Defender SmartScreen dizajniran da upozori korisnike Windows 10 kada pristupaju domenama sa zlonamjernim softverom ili mogućnostima krađe identiteta, DealPly ga je zaobišao.

To čine tako što koriste prednosti zaraženih računala s Windows 10 i koriste ih za daljnju distribuciju infekcije.

DealPly koristi API-je temeljene na JSON-u, a zatim šalje informacije na server reputacije SmartScreen-a, čeka odgovor i kad ga dobije, prikuplja podatke i vraća ga na C2 server DealPly-a.

Ne koristim Windows 10. Može li DealPly utjecati na mene?

Vrijedi spomenuti da DealPly ima podršku za više verzija nedokumentiranog API-ja SmartScreen. To znači da ima mogućnost zaraziti više verzija sustava Windows, a ne samo Windows 10, kako objašnjavaju istraživači:

Važno je napomenuti da je SmartScreen API nedokumentiran. To znači da je autor uložio mnogo truda u obrnutu konstrukciju unutarnjih funkcija mehanizma SmartScreen.

Da biste zaštitili svoje računalo, osigurajte da stalno ažurirate svoj Windows, koristite antimalware ili antivirusno rješenje i surfate webom u pregledniku koji se temelji na privatnosti.