I ricercatori della sicurezza hanno scoperto una nuova variante DealPly che abusa dell'API SmartScreen di Microsoft per evitare il rilevamento.

Che cos'è DealPly e come funziona?

Se non lo sapevi già, DealPly è una varietà di adware che installa le estensioni del browser sul tuo browser e visualizza s. Per non essere rilevato, abusa dei servizi di reputazione di Microsoft.

Ecco come lo descrive il team di ricerca di enSilo, che ha scoperto l'intrusione:

Oltre al codice modulare, all'impronta digitale della macchina, alle tecniche di rilevamento della VM e alla solida infrastruttura C&C, la scoperta più intrigante è stata il modo in cui DealPly abusa dei servizi di reputazione di Microsoft e McAfee per rimanere sotto il radar.

Anche se Windows Defender SmartScreen è progettato per avvisare gli utenti di Windows 10 quando accedono a domini con malware o potenziale di phishing, DealPly lo ha ignorato.

Lo fa sfruttando i PC Windows 10 infetti e utilizzandoli per distribuire ulteriormente l'infezione.

DealPly utilizza richieste API basate su JSON, quindi invia informazioni al server di reputazione di SmartScreen, attende la risposta e quando le ottiene, raccoglie i dati e li rimanda al server C2 di DealPly.

Non sto usando Windows 10. DealPly potrebbe influenzarmi?

Vale la pena ricordare che DealPly supporta diverse versioni dell'API SmartScreen non documentata. Ciò significa che ha la capacità di infettare più versioni di Windows, non solo Windows 10, come spiegano i ricercatori:

È importante notare che l'API SmartScreen non è documentata. Ciò significa che l'autore ha compiuto molti sforzi nell'ingegnerizzazione inversa dei meccanismi interni della funzionalità del meccanismo SmartScreen.

Per proteggere il tuo PC, assicurati di mantenere sempre aggiornato Windows, utilizzare una soluzione antimalware o antivirus e navigare sul Web su un browser basato sulla privacy.