แอดแวร์อย่างมากใช้บริการชื่อเสียงของสมาร์ทสกรีนเพื่อติดพีซีของคุณ
สารบัญ:
วีดีโอ: à¹à¸§à¸à¹à¸²à¸à¸±à¸ à¸à¸à¸±à¸à¸à¸´à¹à¸¨à¸© 2024
ตัวแปร DealPly ใหม่ซึ่งใช้ SmartScreen API ของ Microsoft ในทางที่ผิดเพื่อหลีกเลี่ยงการตรวจพบถูกค้นพบโดยนักวิจัยด้านความปลอดภัย
DealPly คืออะไรและทำงานอย่างไร
หากคุณยังไม่ทราบ DealPly เป็นโปรแกรมที่ติดตั้งส่วนขยายเบราว์เซอร์บนเบราว์เซอร์ของคุณและแสดง s เพื่อไม่ให้ถูกตรวจพบจะเป็นการละเมิดบริการชื่อเสียงของ Microsoft
นี่คือวิธีที่ทีมวิจัยของ enSilo ผู้ค้นพบการบุกรุกอธิบาย:
นอกเหนือจากรหัสมอดูลาร์เครื่องพิมพ์ลายนิ้วมือเทคนิคการตรวจจับ VM และโครงสร้างพื้นฐาน C&C ที่มีประสิทธิภาพแล้วการค้นพบที่น่าสนใจที่สุดคือวิธีที่ DealPly ใช้บริการชื่อเสียงของ Microsoft และ McAfee ที่ไม่ถูกต้อง
แม้ว่า Windows Defender SmartScreen ได้รับการออกแบบมาเพื่อเตือนผู้ใช้ Windows 10 เมื่อพวกเขาเข้าถึงโดเมนที่มีมัลแวร์หรือมีโอกาสเป็นฟิชชิ่ง แต่ DealPly ก็ข้ามมันไป
มันทำได้โดยการใช้ประโยชน์จากพีซีที่ติดเชื้อ Windows 10 และใช้มันเพื่อกระจายการติดเชื้อต่อไป
DealPly ใช้คำขอ API ที่ใช้ JSON จากนั้นส่งข้อมูลไปยังเซิร์ฟเวอร์ชื่อเสียงของ SmartScreen รอการตอบกลับและเมื่อได้รับแล้วจะรวบรวมข้อมูลและส่งกลับไปยังเซิร์ฟเวอร์ C2 ของ DealPly
ฉันไม่ได้ใช้ Windows 10. DealPly มีผลกับฉันหรือไม่
เป็นมูลค่าการกล่าวขวัญว่า DealPly รองรับหลายรุ่นของ SmartScreen API ที่ไม่มีเอกสาร ซึ่งหมายความว่ามีความสามารถในการแพร่เชื้อ Windows หลายรุ่นไม่ใช่เฉพาะ Windows 10 ตามที่นักวิจัยอธิบาย:
เป็นสิ่งสำคัญที่จะต้องทราบว่า SmartScreen API นั้นไม่มีเอกสาร ซึ่งหมายความว่าผู้เขียนได้ใช้ความพยายามอย่างมากในการวิศวกรรมย้อนกลับการทำงานภายในของกลไก SmartScreen
เพื่อให้พีซีของคุณปลอดภัยอยู่เสมอตรวจสอบให้แน่ใจว่าคุณได้อัปเดต Windows อยู่เสมอใช้ซอฟต์แวร์ป้องกันมัลแวร์หรือแอนติไวรัสและท่องเว็บบนเบราว์เซอร์ที่มีความเป็นส่วนตัว
