Eine neue DealPly-Variante, die die SmartScreen-API von Microsoft missbraucht, um eine Erkennung zu vermeiden, wurde von Sicherheitsforschern entdeckt.

Was ist DealPly und wie funktioniert es?

Wenn Sie es noch nicht wussten, ist DealPly ein Adware-Stamm, der Browser-Erweiterungen in Ihrem Browser installiert und s anzeigt. Um unentdeckt zu bleiben, werden die Reputationsdienste von Microsoft missbraucht.

So beschreibt das Forschungsteam von enSilo, das das Eindringen entdeckt hat, es:

Abgesehen von modularem Code, Fingerabdrücken von Maschinen, VM-Erkennungstechniken und einer robusten C & C-Infrastruktur war die faszinierendste Entdeckung, wie DealPly die Microsoft- und McAfee-Reputationsdienste missbraucht, um im Blick zu bleiben.

Obwohl Windows Defender SmartScreen Windows 10-Benutzer warnen soll, wenn sie auf Domänen mit Malware- oder Phishing-Potenzial zugreifen, hat DealPly dies umgangen.

Dies geschieht, indem infizierte Windows 10-PCs genutzt und zur weiteren Verbreitung der Infektion verwendet werden.

DealPly verwendet JSON-basierte API-Anforderungen, sendet dann Informationen an den Reputationsserver von SmartScreen, wartet auf die Antwort und sammelt Daten, sobald diese eingehen, und sendet sie an den C2-Server von DealPly zurück.

Ich benutze Windows 10 nicht. Kann DealPly mich beeinflussen?

Es ist erwähnenswert, dass DealPly mehrere Versionen der undokumentierten SmartScreen-API unterstützt. Dies bedeutet, dass es mehrere Windows-Versionen infizieren kann, nicht nur Windows 10, wie die Forscher erklären:

Es ist wichtig zu beachten, dass die SmartScreen-API nicht dokumentiert ist. Dies bedeutet, dass der Autor große Anstrengungen unternommen hat, um das Innenleben des SmartScreen-Mechanismus zu überarbeiten.

Um Ihren PC zu schützen, stellen Sie sicher, dass Sie Windows stets auf dem neuesten Stand halten, eine Antimalware oder eine Antivirenlösung verwenden und mit einem datenschutzbasierten Browser im Internet surfen.