Дослідники з безпеки виявили новий варіант DealPly, який зловживає API SmartScreen від Microsoft, щоб уникнути виявлення.

Що таке DealPly і як він працює?

Якщо ви ще не знали, DealPly - це рекламне програмне забезпечення, яке встановлює розширення браузера у вашому браузері та відображає s. Залишаючись непоміченими, це зловживає послугами репутації Microsoft.

Ось як описує його дослідницька група enSilo, яка виявила вторгнення:

Окрім модульного коду, машинного відбитків пальців, методів виявлення віртуальних машин та надійної інфраструктури C&C, найбільш інтригуючим відкриттям було те, як DealPly зловживає службами репутації Microsoft та McAfee, щоб залишатися під радаром.

Навіть незважаючи на те, що Windows Defender SmartScreen призначений для попередження користувачів Windows 10, коли вони отримують доступ до доменів зі зловмисним програмним забезпеченням або фішинговим потенціалом, DealPly обійшов його.

Це роблять, скориставшись інфікованими ПК Windows 10 та використовуючи їх для подальшого поширення інфекції.

DealPly використовує запити на основі API JSON, потім надсилає інформацію на сервер репутації SmartScreen, чекає відповіді, і коли він її отримує, він збирає дані і повертає їх назад на C2-сервер DealPly.

Я не використовую Windows 10. Чи може DealPly впливати на мене?

Варто зазначити, що DealPly підтримує кілька версій недокументованого API SmartScreen. Це означає, що він має можливість заражати кілька версій Windows, а не лише Windows 10, як пояснюють дослідники:

Важливо зазначити, що API SmartScreen недокументований. Це означає, що автор доклав багато зусиль для зворотної інженерії внутрішніх функцій механізму SmartScreen.

Щоб захистити свій ПК, переконайтесь, що ви постійно оновлюєте свою Windows, використовуйте антивірус або антивірусне рішення та переглядайте Інтернет в браузері, що базується на конфіденційності.