Ostatnio Microsoft 365 Defender Research potwierdził, że zarejestrował nowe złośliwe oprogramowanie (malware), które atakuje popularne przeglądarki, takie jak Google Chrome, Firefox, Microsoft Edge i Yandex.
Złośliwe oprogramowanie to Adrozek Malware i zostało stworzone specjalnie w celu wyświetlania reklam na stronach wyników wyszukiwarek. Największą skalę ataków odnotowano w sierpniu 2020 roku.
Zgodnie z raportem Microsoftu, Adrozek atakuje przeglądarki na ponad 30 000 urządzeiach dziennie. Od maja do września ataki najmocniej dotknęły Europę i Azję.
Adrozek Malware – infrastruktura dystrybucyjna
Malware instalowane jest na urządzeniu ofiary poprzez pobieranie instalatora z sieci (drive-by download). Eksperci przeanalizowali kampanię Adrozka od maja do września 2020 roku, a po zbadaniu wszystkich aktywności Adrozka zauważyli, że do administrowania setkami tysięcy nietypowych próbek złośliwego oprogramowania zostało wykorzystanych 159 unikalnych domen. Wiele z tych domen hostowało dziesiątki tysięcy adresów URL, a niektóre z nich miały ponad 100 tysięcy unikalnych adresów URL – z których jedna hostowała blisko 250 tysięcy.
Adrozek Malware
Najciekawszym faktem jest to, że wiele domen rozpowszechnia czyste pliki, takie jak Process Explorer aby zwiększyć reputację swoich domen i adresów URL.
Dostosowywanie komponentów przeglądarki
Poza tym, istnieją pewne modyfikacje komponentów przeglądarki:
Rozszerzenia: Adrozek wprowadza pewne zmiany do konkretnych rozszerzeń przeglądarki. Złośliwe oprogramowanie zazwyczaj modyfikuje „Chrome Media Router” w domyślnych rozszerzeniach przeglądarki w Google Chrome.
Rozszerzenia DLL przeglądarki: złośliwe oprogramowanie dodatkowo manipuluje niektórymi specyficznymi listami DLL przeglądarki.
Ustawienia zabezpieczeń przeglądarki: przeglądarki posiadają ustawienia bezpieczeństwa, które chronią przed zmianami wprowadzanymi przez złośliwe oprogramowanie.
Aktualizacje przeglądarki: Adrozek zmienia politykę aktualizacji – wyłacza automatyczną aktualizację aby uniemożliwić przeglądarkom pobranie i zainstalowanie najnowszych wersji.
Po zakończeniu wprowadzania zmian w różnych komponentach i ustawień przeglądarki, Adrozek szybko zyskuje możliwość wyświetlania reklam w wynikach wyszukiwania w poszczególnych przeglądarkach. Co więcej, autorzy Adrozka działają tak, aby zarabiać poprzez programy reklamowe dla afiliantów, które kompensują ruch polecający i kierują do konkretnych stron internetowych.
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
Chińscy hakerzy wykorzystują Dysk Google do umieszczania złośliwego oprogramowania w sieciach rządowych