Dealply广告软件使用smartscreen的信誉服务来感染您的PC
目录:
视频: Тренувальний тур III етапу Всеукраїнської олiмпiади з iнформатики 2018 2019 навчальний рік 2024
安全研究人员发现了一个新的DealPly变体,它滥用Microsoft的SmartScreen API以避免检测。
什么是DealPly及其运作方式?
如果您还不知道,DealPly是一种广告软件,可在您的浏览器上安装浏览器扩展并显示。 为了不被发现,它滥用了Microsoft的信誉服务。
以下是发现入侵的enSilo研究团队的描述方式:
除了模块化代码,机器指纹识别,VM检测技术和强大的C&C基础结构之外,最引人入胜的发现是DealPly滥用Microsoft和McAfee信誉服务的方式保持在雷达之下。
即使Windows Defender SmartScreen旨在在Windows 10用户访问具有恶意软件或网络钓鱼潜能的域时发出警告,但DealPly绕过了它。
它通过利用受感染的Windows 10 PC并利用它们进一步传播感染来做到这一点。
DealPly使用基于JSON的API请求,然后将信息发送到SmartScreen的信誉服务器,等待响应,获得响应后,它将收集数据并将其发送回DealPly的C2服务器。
我没有使用Windows10。DealPly能影响我吗?
值得一提的是DealPly支持未记录的SmartScreen API的多个版本。 研究人员解释说,这意味着它能够感染多个Windows版本,而不仅仅是Windows 10。
重要的是要注意,SmartScreen API未记录。 这意味着作者在逆向设计SmartScreen机制功能的内部工作方面付出了很多努力。
为了保护您的PC的安全,请确保您始终保持Windows更新,使用防恶意软件或防病毒解决方案,并在基于隐私的浏览器上上网。