En ny DealPly-variant, der misbruger Microsofts SmartScreen API for at undgå detektion blev opdaget af sikkerhedsforskere.

Hvad er DealPly, og hvordan det fungerer?

Hvis du ikke allerede vidste det, er DealPly en adware-stamme, der installerer browserudvidelser i din browser og viser s. For at forblive uopdaget misbruger den Microsofts omdømme-tjenester.

Sådan beskriver enSilos forskerteam, der opdagede indtrængen, det:

Foruden modulær kode, maskinefingeraftryk, VM-detektionsmetoder og robust C & C-infrastruktur, var den mest spændende opdagelse, hvordan DealPly misbruger Microsoft og McAfee omdømmetjenester for at forblive under radaren.

Selvom Windows Defender SmartScreen er designet til at advare Windows 10-brugere, når de får adgang til domæner med malware eller phishing-potentiale, omgås DealPly det.

Det gør det ved at drage fordel af inficerede Windows 10-pc'er og bruge dem til yderligere at distribuere infektionen.

DealPly bruger JSON-baserede API-anmodninger, sender derefter information til SmartScreen's omdømmeserver, venter på svaret, og når det får dem, indsamler det data og sender dem tilbage til DealPlys C2-server.

Jeg bruger ikke Windows 10. Kunne DealPly påvirke mig?

Det er værd at nævne, at DealPly har support til flere versioner af det udokumenterede SmartScreen API. Dette betyder, at det har evnen til at inficere flere Windows-versioner, ikke kun Windows 10, som forskere forklarer:

Det er vigtigt at bemærke, at SmartScreen API ikke er dokumenteret. Dette betyder, at forfatteren har lagt en stor indsats i reverse engineering af den indre funktion af SmartScreen-mekanismefunktionen.

For at holde din pc sikker skal du sørge for, at du altid holder din Windows opdateret, bruger en antimalware eller en antivirusløsning og surfer på nettet i en privacy-baseret browser.