Исследователи безопасности обнаружили новый вариант DealPly, который использует Microsoft SmartScreen API, чтобы избежать обнаружения.

Что такое DealPly и как оно работает?

Если вы еще не знали, DealPly - это рекламное ПО, которое устанавливает расширения браузера в ваш браузер и отображает s. Чтобы остаться незамеченным, он использует службы репутации Microsoft.

Вот как описывает это команда исследователей enSilo:

Помимо модульного кода, снятия отпечатков компьютеров, методов обнаружения виртуальных машин и надежной инфраструктуры C & C, самым интригующим открытием стало то, как DealPly злоупотребляет репутационными службами Microsoft и McAfee, чтобы оставаться в поле зрения.

Несмотря на то, что Защитник Windows SmartScreen предназначен для предупреждения пользователей Windows 10, когда они обращаются к доменам с вредоносным ПО или потенциальным фишингом, DealPly обошла его.

Это достигается за счет использования зараженных компьютеров с Windows 10 и использования их для дальнейшего распространения инфекции.

DealPly использует запросы API на основе JSON, затем отправляет информацию на репутационный сервер SmartScreen, ожидает ответа, а когда получает, собирает данные и отправляет их обратно на C2-сервер DealPly.

Я не пользуюсь Windows 10. Может ли DealPly повлиять на меня?

Стоит отметить, что DealPly поддерживает несколько версий недокументированного API SmartScreen. Это означает, что он способен заражать несколько версий Windows, а не только Windows 10, как объясняют исследователи:

Важно отметить, что SmartScreen API не имеет документов. Это означает, что автор приложил немало усилий для реинжиниринга внутренней работы механизма SmartScreen.

Чтобы обеспечить безопасность вашего ПК, убедитесь, что вы всегда обновляете Windows, используете антивирусное или антивирусное решение и просматриваете веб-страницы в браузере на основе конфиденциальности.