Güvenlik araştırmacıları tarafından Microsoft'un SmartScreen API'sini algılamaktan kaçınan yeni bir DealPly varyantı keşfedildi.

DealPly nedir ve nasıl çalışır?

Zaten bilmiyorsanız, DealPly tarayıcınıza tarayıcı uzantıları yükleyen ve s görüntüleyen bir adware suşu. Tespit edilmeden kalmak, Microsoft'un itibar hizmetlerini kötüye kullanıyor.

İzinsiz girişleri keşfeden enSilo'nun araştırma ekibi şöyle açıklıyor:

Modüler kod, makine parmak izi, VM algılama teknikleri ve sağlam C&C altyapısının yanı sıra, en ilgi çekici keşif DealPly'nin Microsoft ve McAfee itibar hizmetlerini radar altında tutmasıdır.

Windows Defender SmartScreen, kötü amaçlı yazılım veya kimlik avı potansiyeli olan etki alanlarına erişirken Windows 10 kullanıcılarını uyarmak için tasarlanmış olsa da, DealPly bunu atladı.

Bunu, virüslü Windows 10 PC'lerden yararlanarak ve bu virüs bulaşmasını daha da dağıtmak için kullanarak yapar.

DealPly, JSON tabanlı API isteklerini kullanır, daha sonra SmartScreen'in itibar sunucusuna bilgi gönderir, yanıtı bekler ve ne zaman aldığında, verileri toplar ve DealPly's C2 sunucusuna geri gönderir.

Windows 10 kullanmıyorum. DealPly beni etkileyebilir mi?

DealPly'nin belgelenmemiş SmartScreen API'sinin birden fazla sürümü için desteğine sahip olduğunu belirtmekte fayda var. Bu, araştırmacıların açıkladığı gibi, yalnızca Windows 10'a değil, birden çok Windows sürümüne de bulaşabilme yeteneğine sahip olduğu anlamına gelir:

SmartScreen API'sinin belgesiz olduğuna dikkat etmek önemlidir. Bu, yazarın SmartScreen mekanizmasının özelliğinin iç çalışmalarını tersine mühendislik yapmak için çok çaba sarf ettiği anlamına gelir.

PC'nizi güvende tutmak için, Windows'u her zaman güncel tuttuğunuzdan, bir antimalware veya antivirüs çözümü kullandığınızdan ve internette gizlilik tabanlı bir tarayıcıda gezdiğinizden emin olun.