En ny DealPly-variant som missbrukar Microsofts SmartScreen API för att undvika upptäckt upptäcktes av säkerhetsforskare.

Vad är DealPly och hur det fungerar?

Om du inte redan visste det, är DealPly en adware-stam som installerar webbläsarförlängningar i din webbläsare och visar s. För att förbli oupptäckt missbrukar det Microsofts rykte-tjänster.

Så här beskriver enSilos forskargrupp, som upptäckte intrång, den:

Förutom modulär kod, maskins fingeravtryck, VM-detekteringstekniker och robust C & C-infrastruktur, var den mest spännande upptäckten hur DealPly missbrukar Microsoft och McAfee rykte tjänster för att förbli under radaren.

Trots att Windows Defender SmartScreen är designad för att varna Windows 10-användare när de får tillgång till domäner med skadlig programvara eller phishing-potential, förbigick DealPly det.

Det gör det genom att dra nytta av infekterade Windows 10-datorer och använda dem för att ytterligare distribuera infektionen.

DealPly använder JSON-baserade API-förfrågningar, skickar sedan information till SmartScreen's rykte-server, väntar på svaret och när den får den, samlar den in data och skickar tillbaka den till DealPlys C2-server.

Jag använder inte Windows 10. Kan DealPly påverka mig?

Det är värt att nämna att DealPly har stöd för flera versioner av det okokumenterade SmartScreen API. Detta betyder att det har förmågan att infektera flera Windows-versioner, inte bara Windows 10, som forskare förklarar:

Det är viktigt att notera att SmartScreen API inte är dokumenterat. Detta innebär att författaren har lagt ned mycket arbete på omvänd konstruktion av de inre funktionerna i SmartScreen-mekanismens funktion.

För att hålla din dator säker, se till att du alltid håller din Windows uppdaterad, använder en antimalware eller en antiviruslösning och surfar på webben i en sekretessbaserad webbläsare.