Varian DealPly baru yang menyalahgunakan Microsoft SmartScreen API untuk mengelakkan pengesanan ditemui oleh penyelidik keselamatan.

Apakah DealPly dan bagaimana ia berfungsi?

Sekiranya anda tidak tahu sudah, DealPly adalah strain adware yang memasang pelanjutan penyemak imbas pada pelayar anda dan memaparkan s. Untuk tetap tidak dapat dikesan, ia menyalahgunakan perkhidmatan reputasi Microsoft.

Begini bagaimana pasukan penyelidikan enSilo, yang menemui pencerobohan itu, menerangkannya:

Selain dari kod modular, cap jari mesin, teknik pengesanan VM dan infrastruktur C & C yang mantap, penemuan yang paling menarik ialah cara DealPly menyalahgunakan perkhidmatan reputasi Microsoft dan McAfee untuk kekal di bawah radar.

Walaupun Windows Defender SmartScreen direka untuk memberi amaran kepada pengguna Windows 10 apabila mereka mengakses domain dengan potensi malware atau phishing, DealPly melangkauinya.

Ia melakukannya dengan mengambil kesempatan daripada Windows 10 PC yang dijangkiti dan menggunakannya untuk mengedarkan lagi jangkitan.

DealPly menggunakan permintaan API berasaskan JSON, kemudian menghantar maklumat ke pelayan reputasi SmartScreen, menunggu maklum balas dan apabila mendapatnya, ia mengumpul data dan menghantarnya kembali ke pelayan C2 DealPly.

Saya tidak menggunakan Windows 10. Bolehkah DealPly memberi kesan kepada saya?

Perlu dinyatakan bahawa DealPly mempunyai sokongan untuk pelbagai versi API SmartScreen yang tidak berdokumen. Ini bermakna ia mempunyai keupayaan untuk menjangkiti pelbagai versi Windows, bukan hanya Windows 10, kerana penyelidik menjelaskan:

Adalah penting untuk ambil perhatian bahawa SmartScreen API tidak berdokumen. Ini bermakna pengarang telah meletakkan banyak usaha dalam kejuruteraan terbalik dalam kerja mekanik pintasan SmartScreen.

Untuk memastikan PC anda selamat, pastikan sentiasa menyimpan Windows anda, menggunakan antimalware atau penyelesaian antivirus, dan melayari web pada pelayar berasaskan privasi.