安全研究人员发现了一个新的DealPly变体，它滥用Microsoft的SmartScreen API以避免检测。

什么是DealPly及其运作方式？

如果您还不知道，DealPly是一种广告软件，可在您的浏览器上安装浏览器扩展并显示。 为了不被发现，它滥用了Microsoft的信誉服务。

以下是发现入侵的enSilo研究团队的描述方式：

除了模块化代码，机器指纹识别，VM检测技术和强大的C&C基础结构之外，最引人入胜的发现是DealPly滥用Microsoft和McAfee信誉服务的方式保持在雷达之下。

即使Windows Defender SmartScreen旨在在Windows 10用户访问具有恶意软件或网络钓鱼潜能的域时发出警告，但DealPly绕过了它。

它通过利用受感染的Windows 10 PC并利用它们进一步传播感染来做到这一点。

DealPly使用基于JSON的API请求，然后将信息发送到SmartScreen的信誉服务器，等待响应，获得响应后，它将收集数据并将其发送回DealPly的C2服务器。

我没有使用Windows10。DealPly能影响我吗？

值得一提的是DealPly支持未记录的SmartScreen API的多个版本。 研究人员解释说，这意味着它能够感染多个Windows版本，而不仅仅是Windows 10。

重要的是要注意，SmartScreen API未记录。 这意味着作者在逆向设计SmartScreen机制功能的内部工作方面付出了很多努力。

为了保护您的PC的安全，请确保您始终保持Windows更新，使用防恶意软件或防病毒解决方案，并在基于隐私的浏览器上上网。