Los investigadores de seguridad descubrieron una nueva variante de DealPly que abusa de la API SmartScreen de Microsoft para evitar la detección.

¿Qué es DealPly y cómo funciona?

Si aún no lo sabía, DealPly es una variedad de adware que instala extensiones de navegador en su navegador y muestra s. Para no ser detectado, abusa de los servicios de reputación de Microsoft.

Así es como lo describe el equipo de investigación de enSilo, que descubrió la intrusión:

Además del código modular, las huellas digitales de la máquina, las técnicas de detección de VM y la sólida infraestructura de C&C, el descubrimiento más intrigante fue la forma en que DealPly abusa de los servicios de reputación de Microsoft y McAfee para permanecer bajo el radar.

Aunque Windows Defender SmartScreen está diseñado para advertir a los usuarios de Windows 10 cuando acceden a dominios con malware o potencial de phishing, DealPly lo omitió.

Lo hace aprovechando las PC infectadas con Windows 10 y usándolas para distribuir aún más la infección.

DealPly utiliza solicitudes de API basadas en JSON, luego envía información al servidor de reputación de SmartScreen, espera la respuesta y, cuando la recibe, recopila datos y los envía de vuelta al servidor C2 de DealPly.

No estoy usando Windows 10. ¿Podría DealPly afectarme?

Vale la pena mencionar que DealPly tiene soporte para múltiples versiones de la API SmartScreen no documentada. Esto significa que tiene la capacidad de infectar múltiples versiones de Windows, no solo Windows 10, como explican los investigadores:

Es importante tener en cuenta que la API SmartScreen no está documentada. Esto significa que el autor ha puesto mucho esfuerzo en la ingeniería inversa del funcionamiento interno de la función del mecanismo SmartScreen.

Para mantener su PC segura, asegúrese de mantener siempre actualizado su Windows, use un antimalware o una solución antivirus y navegue por la web en un navegador basado en la privacidad.