Varian DealPly baru yang menyalahgunakan Microsoft SmartScreen API untuk menghindari deteksi ditemukan oleh peneliti keamanan.

Apa itu DealPly dan bagaimana cara kerjanya?

Jika Anda belum tahu, DealPly adalah jenis adware yang menginstal ekstensi browser di browser Anda dan menampilkan. Agar tetap tidak terdeteksi, itu menyalahgunakan layanan reputasi Microsoft.

Begini cara tim riset enSilo, yang menemukan intrusi, menjelaskannya:

Selain kode modular, sidik jari mesin, teknik deteksi VM, dan infrastruktur C&C yang kuat, penemuan paling menarik adalah cara DealPly menyalahgunakan layanan reputasi Microsoft dan McAfee untuk tetap berada di bawah radar.

Meskipun Windows Defender SmartScreen dirancang untuk memperingatkan pengguna Windows 10 ketika mereka mengakses domain dengan potensi malware atau phising, DealPly memintasinya.

Itu dilakukan dengan mengambil keuntungan dari PC Windows 10 yang terinfeksi dan menggunakannya untuk mendistribusikan infeksi lebih lanjut.

DealPly menggunakan permintaan API berbasis JSON, kemudian mengirimkan info ke server reputasi SmartScreen, menunggu respons dan ketika mendapatkannya, ia mengumpulkan data dan mengirimkannya kembali ke server C2 DealPly.

Saya tidak menggunakan Windows 10. Bisakah DealPly memengaruhi saya?

Patut disebutkan bahwa DealPly memiliki dukungan untuk beberapa versi SmartScreen API tanpa dokumen. Ini berarti bahwa ia memiliki kemampuan untuk menginfeksi beberapa versi Windows, bukan hanya Windows 10, seperti yang dijelaskan oleh para peneliti:

Penting untuk dicatat bahwa SmartScreen API tidak berdokumen. Ini berarti penulis telah melakukan banyak upaya dalam rekayasa terbalik cara kerja fitur mekanisme SmartScreen.

Untuk menjaga keamanan PC Anda, pastikan Anda selalu memperbarui Windows, gunakan antimalware atau solusi antivirus, dan jelajahi web di browser berbasis privasi.