اكتشف باحثون أمنيون نوع DealPly الجديد الذي ينتهك واجهة برمجة تطبيقات SmartScreen من Microsoft لتجنب الكشف.

ما هو DealPly وكيف يعمل؟

إذا لم تكن تعرف بالفعل ، فإن DealPly عبارة عن سلالة adware تقوم بتثبيت ملحقات المتصفح على متصفحك وتعرضها. لتبقى غير مكتشفة ، فإنها تنتهك خدمات سمعة Microsoft.

إليكم كيف يصفه فريق الأبحاث التابع لـ enSilo والذي اكتشف الاختراق:

إلى جانب الشفرة المعيارية ، وبصمات الماكينات ، وتقنيات الكشف عن VM ، والبنية التحتية القوية C&C ، كان الاكتشاف الأكثر إثارة للاهتمام هو الطريقة التي يسيء بها DealPly إلى خدمات سمعة Microsoft و McAfee للبقاء تحت الرادار.

على الرغم من أن Windows Defender SmartScreen مصمم لتحذير مستخدمي Windows 10 عند وصولهم إلى المجالات التي تحتوي على برامج ضارة أو احتيالية ، فقد تجاوزه DealPly.

يفعل ذلك من خلال الاستفادة من أجهزة الكمبيوتر المصابة بنظام التشغيل Windows 10 واستخدامها لتوزيع العدوى.

يستخدم DealPly طلبات API المستندة إلى JSON ، ثم يرسل المعلومات إلى خادم سمعة SmartScreen ، وينتظر الاستجابة وعندما يحصل عليها ، فإنه يجمع البيانات ويعيدها إلى خادم C2 الخاص بـ DealPly.

أنا لا أستخدم نظام Windows 10. هل يمكن أن يؤثر DealPly علي؟

تجدر الإشارة إلى أن DealPly لديه دعم لإصدارات متعددة من واجهة برمجة تطبيقات SmartScreen API غير الموثقة. هذا يعني أن لديه القدرة على إصابة إصدارات Windows متعددة ، وليس Windows 10 فقط ، كما يشرح الباحثون:

من المهم ملاحظة أن واجهة برمجة تطبيقات SmartScreen غير موثقة. وهذا يعني أن المؤلف قد بذل الكثير من الجهد في الهندسة العكسية للأعمال الداخلية للميزة SmartScreen.

للحفاظ على أمان الكمبيوتر ، تأكد من تحديث Windows الخاص بك دائمًا ، واستخدام أحد برامج مكافحة البرامج الضارة أو أحد برامج مكافحة الفيروسات ، وتصفح الويب على مستعرض يستند إلى الخصوصية.