보안 연구원들은 탐지를 피하기 위해 Microsoft의 SmartScreen API를 악용하는 새로운 DealPly 변형을 발견했습니다.

DealPly 란 무엇이며 어떻게 작동합니까?

모르는 경우 DealPly는 브라우저 확장 프로그램을 브라우저에 설치하고을 표시하는 애드웨어 변종입니다. 탐지되지 않은 상태로 유지하려면 Microsoft의 평판 서비스를 남용합니다.

침입을 발견 한 enSilo의 연구팀이이를 설명하는 방법은 다음과 같습니다.

모듈 식 코드, 머신 핑거 프린팅, VM 탐지 기술 및 강력한 C & C 인프라 외에도 가장 흥미로운 발견은 DealPly가 Microsoft 및 McAfee 평판 서비스를 악용하여 레이더에 남는 방식이었습니다.

Windows Defender SmartScreen은 맬웨어 또는 피싱 가능성이있는 도메인에 액세스 할 때 Windows 10 사용자에게 경고하도록 설계되었지만 DealPly는이를 우회했습니다.

감염된 Windows 10 PC를 활용하여 감염을 더 배포하기 위해 사용합니다.

DealPly는 JSON 기반 API 요청을 사용한 다음 정보를 SmartScreen 평판 서버로 전송하고 응답을 기다렸다가 응답을 받으면 데이터를 수집하여 DealPly의 C2 서버로 다시 보냅니다.

Windows 10을 사용하고 있지 않습니다. DealPly가 나에게 영향을 줄 수 있습니까?

DealPly는 문서화되지 않은 SmartScreen API의 여러 버전을 지원합니다. 이는 연구원들이 설명하는 것처럼 Windows 10뿐만 아니라 여러 Windows 버전을 감염시킬 수 있음을 의미합니다.

SmartScreen API는 문서화되어 있지 않습니다. 이는 저자가 SmartScreen 메커니즘 기능의 내부 작업을 리버스 엔지니어링하는 데 많은 노력을 기울 였음을 의미합니다.

PC를 안전하게 유지하려면 항상 Windows를 최신 상태로 유지하고 맬웨어 방지 또는 바이러스 백신 솔루션을 사용하고 개인 정보 보호 기반 브라우저에서 웹 서핑을하십시오.