חוקרי אבטחה התגלו גרסה חדשה של DealPly המנעה לרעה את ה- API של SmartScreen של מיקרוסופט כדי להימנע מגילוי.

מה זה DealPly ואיך זה עובד?

אם עוד לא ידעת, DealPly הוא זן לתוכנות פרסום שמתקין תוספי דפדפן בדפדפן שלך ומציג s. כדי להישאר ללא זיהוי, הוא פוגע בשירותי המוניטין של מיקרוסופט.

כך מתאר זאת צוות המחקר של enSilo שגילה את הפריצה:

מלבד קוד מודולרי, טביעות אצבעות במכונה, טכניקות גילוי VM ותשתיות C&C חזקות, התגלית המסקרנת ביותר הייתה הדרך שבה DealPly מתעללת בשירותי המוניטין של מיקרוסופט ו- McAfee להישאר מתחת לרדאר.

למרות ש- Windows Defender SmartScreen נועד להזהיר את משתמשי Windows 10 כאשר הם ניגשים לתחומים עם תוכנות זדוניות או פוטנציאל דיוג, DealPly עקפה אותו.

זה עושה זאת על ידי ניצול מחשבים נגועים של Windows 10 ושימוש בהם כדי להפיץ את הזיהום עוד יותר.

DealPly משתמש בבקשות API מבוססות JSON, לאחר מכן שולח מידע לשרת המוניטין של SmartScreen, ממתין לתגובה וכשהוא מקבל את זה, הוא אוסף נתונים ומחזיר אותם לשרת C2 של DealPly.

אני לא משתמש ב- Windows 10. האם DealPly יכול להשפיע עליי?

ראוי להזכיר של- DealPly יש תמיכה בגירסאות מרובות של ה- API של SmartScreen הבלתי מתועד. פירוש הדבר שיש לו את היכולת להדביק גרסאות חלונות מרובות, ולא רק Windows 10, כפי שמסבירים החוקרים:

חשוב לציין כי ה- API של SmartScreen אינו מתועד. פירוש הדבר שהמחבר עשה מאמץ רב בהנדסת רוורס את פעולתו הפנימית של פונקציית מנגנון SmartScreen.

כדי לשמור על בטיחות המחשב האישי, וודאו שתעדכנו את חלונותיכם תמיד, השתמשו בתוכנת antimalware או בפתרון אנטי-וירוס, וגלשו באינטרנט בדפדפן מבוסס פרטיות.