A biztonsági kutatók felfedezték az új DealPly változatot, amely a felderítés elkerülése érdekében visszaél a Microsoft SmartScreen API-jával.

Mi a DealPly és hogyan működik?

Ha még nem tudta, a DealPly egy hirdetőprogram-törzs, amely telepíti a böngésző kiterjesztéseit a böngészőbe, és megjeleníti az s-t. Hogy észrevétlenül maradjon, visszaél a Microsoft jó hírnevével kapcsolatos szolgáltatásokkal.

Így írja le az enSilo kutatócsoportja, aki felfedezte a behatolást:

A moduláris kód, a gépi ujjlenyomat-felvétel, a virtuális gép-észlelési technikák és az erőteljes C&C-infrastruktúra mellett a legérdekesebb felfedezés az volt, ahogyan a DealPly visszaélésszerűen alkalmazza a Microsoft és a McAfee hírneveket a radar alatt.

Annak ellenére, hogy a Windows Defender SmartScreen célja a Windows 10 felhasználóinak figyelmeztetése, ha rosszindulatú programokkal vagy adathalász potenciállal rendelkező domainekhez férnek hozzá, a DealPly megkerülte azt.

Ezt a fertőzött Windows 10 PC-k előnyeinek kihasználásával és a fertőzés további terjesztésére használja fel.

A DealPly JSON-alapú API-kérelmeket használ, majd információkat küld a SmartScreen hírnévkiszolgálójának, megvárja a választ, és amikor megkapja, adatokat gyűjt és visszatér a DealPly C2 szerverére.

Nem a Windows 10 rendszert használom. Befolyásolhatja a DealPly engem?

Érdemes megemlíteni, hogy a DealPly támogatja a nem dokumentált SmartScreen API több verzióját. Ez azt jelenti, hogy képes megfertőzni több Windows verziót, nem csak a Windows 10-et, ahogy a kutatók elmagyarázzák:

Fontos megjegyezni, hogy a SmartScreen API nem dokumentált. Ez azt jelenti, hogy a szerző sok erőfeszítést tett a SmartScreen mechanizmus funkciójának belső működésének visszafejlesztésére.

A számítógép biztonsága érdekében ügyeljen arra, hogy mindig frissítse a Windows rendszert, használjon egy fertőzőirtó vagy vírusvédelmi megoldást, és böngészjen az interneten egy adatvédelmi alapú böngészőn.