Els investigadors de seguretat van descobrir una nova variant DealPly que abusa de l'API SmartScreen de Microsoft per evitar la detecció.

Què és DealPly i com funciona?

Si encara no ho sabíeu, DealPly és un programari d’anuncis que instal·la extensions del navegador al vostre navegador i que visualitza s. Per no ser detectat, abusa dels serveis de reputació de Microsoft.

A continuació, es descriu com l’equip d’investigació d’enSilo, que va descobrir l’intrusisme:

A més del codi modular, l’empremta digital de màquines, les tècniques de detecció de VM i la robusta infraestructura de C&C, el descobriment més interessant va ser la manera en què DealPly abusa dels serveis de reputació de Microsoft i McAfee per quedar-se sota el radar.

Tot i que Windows Defender SmartScreen està dissenyat per avisar els usuaris de Windows 10 quan accedeixin a dominis amb programari maliciós o amb phishing, DealPly l’ha anul·lat.

Això ho fa aprofitant els ordinadors Windows 10 infectats i utilitzant-los per distribuir encara més la infecció.

DealPly utilitza sol·licituds d’API basades en JSON, després envia informació al servidor de reputació d’SmartScreen, espera la resposta i quan la obté, recopila dades i la torna a enviar al servidor C2 de DealPly.

No estic utilitzant Windows 10. Pot afectar-me DealPly?

Val la pena esmentar que DealPly compta amb suport per a diverses versions de la API sense documentació de SmartScreen. Això significa que pot infectar diverses versions de Windows, no només Windows 10, tal com expliquen els investigadors:

És important tenir en compte que l'API de SmartScreen no està documentada. Això significa que l’autor ha fet un gran esforç en l’enginyeria inversa en el funcionament interior del mecanisme SmartScreen.

Per mantenir el vostre PC segur, assegureu-vos que sempre mantingueu actualitzats el Windows, utilitzeu una solució antimalware o una solució antivirus i navegueu per la web en un navegador basat en la privadesa.