Turvallisuustutkijat löysivät uuden DealPly-version, joka väärinkäyttää Microsoftin SmartScreen-sovellusliittymää havaitsemisen välttämiseksi.

Mikä on DealPly ja miten se toimii?

Jos et tiennyt jo, DealPly on mainosohjelmakanta, joka asentaa selaimen laajennukset selaimeesi ja näyttää s. Pysyäksesi huomaamatta se väärinkäyttää Microsoftin mainepalveluita.

Tunnetuisuuden havainnut enSilo-tutkimusryhmä kuvaa sitä seuraavasti:

Modulaarisen koodin, koneellisten sormenjälkien, automaattisen automaation havaitsemistekniikoiden ja vankan C&C-infrastruktuurin lisäksi mielenkiintoisin löytö oli tapa, jolla DealPly väärinkäyttää Microsoftin ja McAfeen mainepalveluita pysyäkseen tutkan alla.

Vaikka Windows Defender SmartScreen on suunniteltu varoittamaan Windows 10 -käyttäjiä, kun he käyttävät verkkotunnuksia, joissa on haittaohjelmia tai tietojenkalastelupotentiaalia, DealPly ohitti sen.

Se tekee sen hyödyntämällä tartunnan saaneet Windows 10 -tietokoneet ja käyttämällä niitä edelleen tartunnan leviämiseen.

DealPly käyttää JSON-pohjaisia ​​API-pyyntöjä, lähettää sitten tiedot SmartScreenin mainepalvelimelle, odottaa vastausta ja kun se saa tiedon, kerää tiedot ja lähettää ne takaisin DealPlyn C2-palvelimelle.

En käytä Windows 10 -käyttöjärjestelmää. Voisiko DealPly vaikuttaa minuun?

On syytä mainita, että DealPly tukee dokumentoimattoman SmartScreen-sovellusliittymän useita versioita. Tämä tarkoittaa, että sillä on kyky tartuttaa useita Windows-versioita, ei vain Windows 10, kuten tutkijat selittävät:

On tärkeää huomata, että SmartScreen-sovellusliittymä ei ole dokumentoitu. Tämä tarkoittaa, että kirjoittaja on panostanut paljon työtä SmartScreen-mekanismin ominaisuuksien käänteiseen suunnitteluun.

Pidä tietokoneesi turvassa varmistamalla, että pidät Windows aina päivitettynä, käytät viruksentorjuntaohjelmaa tai virustorjuntaratkaisua ja surffaat webissä yksityisyyspohjaisessa selaimessa.