Истраживачи безбедности открили су нову ДеалПли варијанту која злоупотребљава Мицрософтов СмартСцреен АПИ да би избегла откривање.

Шта је ДеалПли и како функционише?

Ако већ нисте знали, ДеалПли је сој адваре који инсталира екстензије прегледача на ваш претраживач и приказује с. Ако остане неоткривен, злоупотребљава Мицрософтове услуге репутације.

Ево како то описује истраживачки тим енСила, који је открио упад:

Поред модуларног кода, машинског отиска прста, техника детекције ВМ-а и робусне Ц&Ц инфраструктуре, најинтригантније откриће био је начин на који ДеалПли злоупотребљава Мицрософт и МцАфее репутацијске услуге да остану под радарима.

Иако је Виндовс Дефендер СмартСцреен дизајниран да упозори кориснике Виндовс 10 када приступе доменама са злонамјерним софтвером или пхисхинг потенцијалом, ДеалПли га је заобишао.

То чине тако што користе предности заражених рачунара са Виндовс 10 и користе их за даљу дистрибуцију инфекције.

ДеалПли користи АПИ-је базиране на ЈСОН-у, а затим информације шаље на сервер репутације СмартСцреен-а, чека одговор и када га добије, прикупља податке и враћа га на Ц2 сервер ДеалПли-а.

Не користим Виндовс 10. Да ли би ДеалПли могао да утиче на мене?

Вриједно је напоменути да ДеалПли има подршку за више верзија недокументираног АПИ-ја СмартСцреен. То значи да има могућност да зарази више верзија Виндовс-а, а не само Виндовс 10, како објашњавају истраживачи:

Важно је напоменути да је СмартСцреен АПИ недокументиран. То значи да је аутор уложио много напора у обрнути инжењеринг унутрашњих функција механизма СмартСцреен.

Да бисте сачували свој рачунар, пазите да увек ажурирате свој Виндовс, користите антималваре или антивирусно решење и сурфате интернетом у претраживачу који се заснива на приватности.