Một biến thể DealPly mới lạm dụng API SmartScreen của Microsoft để tránh bị phát hiện đã được các nhà nghiên cứu bảo mật phát hiện.

DealPly là gì và nó hoạt động như thế nào?

Nếu bạn chưa biết, DealPly là một chủng phần mềm quảng cáo cài đặt các phần mở rộng trình duyệt trên trình duyệt của bạn và hiển thị s. Để không bị phát hiện, nó lạm dụng các dịch vụ danh tiếng của Microsoft.

Đây là cách nhóm nghiên cứu của enSilo, người đã phát hiện ra sự xâm nhập, mô tả nó:

Bên cạnh mã mô-đun, vân tay máy, kỹ thuật phát hiện VM và cơ sở hạ tầng C & C mạnh mẽ, khám phá hấp dẫn nhất là cách DealPly lạm dụng các dịch vụ danh tiếng của Microsoft và McAfee để ở dưới radar.

Mặc dù Windows Defender SmartScreen được thiết kế để cảnh báo người dùng Windows 10 khi họ truy cập các tên miền có phần mềm độc hại hoặc lừa đảo, DealPly đã bỏ qua nó.

Nó thực hiện điều đó bằng cách tận dụng các PC Windows 10 bị nhiễm và sử dụng chúng để phân phối tiếp tục lây nhiễm.

DealPly sử dụng các yêu cầu API dựa trên JSON, sau đó gửi thông tin đến máy chủ danh tiếng của SmartScreen, chờ phản hồi và khi nhận được, nó sẽ thu thập dữ liệu và gửi lại cho máy chủ C2 của DealPly.

Tôi không sử dụng Windows 10. DealPly có thể ảnh hưởng đến tôi không?

Điều đáng nói là DealPly có hỗ trợ cho nhiều phiên bản API SmartScreen không có giấy tờ. Điều này có nghĩa là nó có khả năng lây nhiễm nhiều phiên bản Windows, không chỉ Windows 10, như các nhà nghiên cứu giải thích:

Điều quan trọng cần lưu ý là API SmartScreen không có giấy tờ. Điều này có nghĩa là tác giả đã nỗ lực rất nhiều trong kỹ thuật đảo ngược các hoạt động bên trong của cơ chế SmartScreen.

Để giữ cho PC của bạn an toàn, hãy đảm bảo rằng bạn luôn cập nhật Windows, sử dụng phần mềm chống virus hoặc giải pháp chống vi-rút và lướt web trên trình duyệt dựa trên quyền riêng tư.