Een nieuwe DealPly-variant die misbruik maakt van Microsoft's SmartScreen API om detectie te voorkomen, werd ontdekt door beveiligingsonderzoekers.

Wat is DealPly en hoe het werkt?

Als u dat nog niet wist, is DealPly een adware-soort die browserextensies op uw browser installeert en s weergeeft. Om onopgemerkt te blijven, maakt het misbruik van de reputatieservices van Microsoft.

Dit is hoe het onderzoeksteam van enSilo, dat de inbraak heeft ontdekt, het beschrijft:

Naast modulaire code, machine-fingerprinting, VM-detectietechnieken en robuuste C & C-infrastructuur, was de meest intrigerende ontdekking de manier waarop DealPly de reputatieservices van Microsoft en McAfee misbruikt om onder de radar te blijven.

Hoewel Windows Defender SmartScreen is ontworpen om Windows 10-gebruikers te waarschuwen wanneer ze toegang krijgen tot domeinen met malware of phishing-potentieel, heeft DealPly het omzeild.

Het doet dat door gebruik te maken van geïnfecteerde Windows 10-pc's en deze te gebruiken om de infectie verder te verspreiden.

DealPly maakt gebruik van op JSON gebaseerde API-aanvragen, stuurt vervolgens informatie naar de reputatieserver van SmartScreen, wacht op de reactie en verzamelt gegevens en stuurt deze terug naar de C2-server van DealPly.

Ik gebruik geen Windows 10. Kan DealPly mij beïnvloeden?

Het is vermeldenswaard dat DealPly ondersteuning biedt voor meerdere versies van de ongedocumenteerde SmartScreen API. Dit betekent dat het de mogelijkheid heeft om meerdere Windows-versies te infecteren, niet alleen Windows 10, zoals onderzoekers uitleggen:

Het is belangrijk op te merken dat de SmartScreen API geen papieren heeft. Dit betekent dat de auteur veel moeite heeft gestoken in reverse engineering van de interne werking van het SmartScreen-mechanisme.

Om uw pc veilig te houden, moet u ervoor zorgen dat u Windows altijd up-to-date houdt, een antimalware- of antivirusoplossing gebruikt en op internet surft in een privacygebaseerde browser.