Výskumníci v oblasti bezpečnosti objavili nový variant DealPly, ktorý zneužíva rozhranie SmartScreen API spoločnosti Microsoft, aby sa zabránilo detekcii.

Čo je DealPly a ako to funguje?

Ak ste to ešte nevedeli, DealPly je adware kmeň, ktorý do prehliadača inštaluje rozšírenia prehliadača a zobrazuje ich. Zostáva nezistený, zneužíva dobré meno spoločnosti Microsoft.

Vedecký tím enSilo, ktorý zistil narušenie, to opisuje takto:

Okrem modulárneho kódu, snímania odtlačkov prstov, techník detekcie VM a robustnej infraštruktúry C&C bolo najzaujímavejším objavom spôsob, akým DealPly zneužíva reputačné služby spoločnosti Microsoft a McAfee, aby zostali pod radarom.

Aj keď je program Windows Defender SmartScreen navrhnutý tak, aby upozorňoval používateľov systému Windows 10 na prístup k doménam s potenciálom škodlivého softvéru alebo phishingu, DealPly ho obišiel.

Robí to tak, že využíva napadnuté počítače so systémom Windows 10 a používa ich na ďalšiu distribúciu infekcie.

DealPly používa požiadavky API založené na JSON, potom pošle informácie na server reputácie SmartScreen, čaká na odpoveď a keď ju dostane, zhromažďuje údaje a odosiela ich späť na server C2 DealPly.

Nepoužívam Windows 10. Môže ma DealPly ovplyvniť?

Za zmienku stojí, že DealPly podporuje viac verzií nezdokumentovaného API SmartScreen. To znamená, že má schopnosť infikovať viacero verzií systému Windows, nielen systému Windows 10, ako vysvetľujú vedci:

Je dôležité poznamenať, že rozhranie API SmartScreen nie je zdokumentované. To znamená, že autor vynaložil veľké úsilie pri spätnom inžinierstve na vnútorné fungovanie mechanizmu SmartScreen.

Ak chcete zaistiť bezpečnosť svojho počítača, uistite sa, že máte neustále aktualizovaný systém Windows, použite antimalware alebo antivírusové riešenie a surfujte po webe v prehliadači založenom na ochrane osobných údajov.