Uma nova variante do DealPly que abusa da API SmartScreen da Microsoft para evitar a detecção foi descoberta pelos pesquisadores de segurança.

O que é o DealPly e como ele funciona?

Se você ainda não sabia, o DealPly é uma variedade de adware que instala extensões do navegador no seu navegador e exibe s. Para não ser detectado, ele abusa dos serviços de reputação da Microsoft.

Veja como a equipe de pesquisa do enSilo, que descobriu a invasão, a descreve:

Além do código modular, impressão digital da máquina, técnicas de detecção de VM e infraestrutura robusta de C&C, a descoberta mais intrigante foi a maneira como o DealPly abusou dos serviços de reputação da Microsoft e da McAfee para permanecer sob o radar.

Embora o Windows Defender SmartScreen tenha sido projetado para avisar os usuários do Windows 10 quando eles acessam domínios com potencial de malware ou phishing, o DealPly o ignorou.

Ele faz isso aproveitando os PCs com Windows 10 infectados e usando-os para distribuir ainda mais a infecção.

O DealPly usa solicitações de API baseadas em JSON, envia informações ao servidor de reputação do SmartScreen, aguarda a resposta e, quando recebe, coleta dados e os envia de volta ao servidor C2 do DealPly.

Não estou usando o Windows 10. O DealPly poderia me afetar?

Vale ressaltar que o DealPly tem suporte para várias versões da API SmartScreen não documentada. Isso significa que ele tem a capacidade de infectar várias versões do Windows, não apenas o Windows 10, como explicam os pesquisadores:

É importante observar que a API do SmartScreen não está documentada. Isso significa que o autor se esforçou muito na engenharia reversa do funcionamento interno do recurso do mecanismo SmartScreen.

Para manter seu PC seguro, mantenha seu Windows sempre atualizado, use uma solução antimalware ou antivírus e navegue na Web em um navegador baseado em privacidade.