Vědci zabývající se bezpečností objevili novou variantu DealPly, která zneužívá rozhraní SmartScreen API společnosti Microsoft, aby se zabránilo detekci.

Co je DealPly a jak to funguje?

Pokud jste to ještě nevěděli, DealPly je adware kmen, který nainstaluje rozšíření prohlížeče do vašeho prohlížeče a zobrazí s. Zůstane nezjištěný, zneužívá dobré pověsti společnosti Microsoft.

Zde je návod, jak to popisuje výzkumný tým enSilo, který objevil tento průnik:

Kromě modulárního kódu, strojového otisku prstu, technik detekce VM a robustní infrastruktury C&C byl nejzajímavějším objevem způsob, jakým DealPly zneužívá reputační služby společnosti Microsoft a McAfee, aby zůstaly pod radarem.

Přestože je program Windows Defender SmartScreen navržen tak, aby varoval uživatele Windows 10, když přistupují k doménám s potenciálem malwaru nebo phishingu, DealPly jej obešel.

Využívá infikovaných počítačů se systémem Windows 10 a používá je k dalšímu šíření infekce.

DealPly používá požadavky API založené na JSON, poté odešle informace na server reputace SmartScreen, čeká na odpověď a když ji obdrží, shromažďuje data a odešle je zpět na C2 server DealPly.

Nepoužívám Windows 10. Mohl by mě DealPly ovlivnit?

Za zmínku stojí, že DealPly má podporu pro více verzí nezdokumentovaného rozhraní API SmartScreen. To znamená, že má schopnost infikovat více verzí Windows, nejen Windows 10, jak vědci vysvětlují:

Je důležité si uvědomit, že API SmartScreen není zdokumentováno. To znamená, že autor vynaložil velké úsilí při zpětném inženýrství na vnitřní fungování mechanismu funkce SmartScreen.

Chcete-li udržet počítač v bezpečí, ujistěte se, že svůj systém Windows neustále aktualizujete, použijte antimalware nebo antivirové řešení a procházejte web v prohlížeči založeném na ochraně osobních údajů.