4 основных браузера подвергаются массовым атакам вредоносного ПО

Chrome, Firefox, Edge и Яндекс затронуты широко распространенной рекламной кампанией.

браузера, атака

Adrozek, как производитель программного обеспечения назвал семейство вредоносных программ, полагается на разветвленную сеть распространения, состоящую из 159 уникальных доменов, каждый из которых содержит в среднем 17 300 уникальных URL-адресов. URL-адреса, в свою очередь, содержат в среднем 15 300 уникальных образцов вредоносного ПО. Кампания началась не позднее мая и достигла пика в августе, когда вредоносное ПО обнаруживалось на 30 000 устройств в день.

Не афера с участием вашего отца

Атака работает против браузеров Chrome, Firefox, Edge и Яндекс и продолжается. Конечная цель на данный момент. добавить рекламу в результаты поиска, чтобы злоумышленники могли взимать плату с аффилированных лиц. Хотя эти типы кампаний распространены и представляют меньшую угрозу, чем многие типы вредоносных программ, Adrozek выделяется из-за вредоносных модификаций, которые он вносит в настройки безопасности, и других вредоносных действий, которые он выполняет.

«Киберпреступники, злоупотребляющие партнерскими программами, не новость. модификаторы браузеров. одни из самых старых типов угроз». написали в своем блоге исследователи из исследовательской группы Microsoft 365 Defender. «Однако тот факт, что в этой кампании используется вредоносное ПО, которое поражает несколько браузеров, свидетельствует о том, что этот тип угроз продолжает становиться все более изощренным. Кроме того, вредоносная программа сохраняет постоянство и извлекает учетные данные веб-сайтов, подвергая затронутые устройства дополнительным рискам ».

READ  Журнал изменений Stadia Hello Engineer получает бета-версию перед запуском

В сообщении говорилось, что Adrozek устанавливается «путем побочной загрузки». Имена файлов установщика используют формат setup.exe. Злоумышленники помещают файл во временную папку Windows, и этот файл, в свою очередь, удаляет основную полезную нагрузку в каталоге файлов программы. Эта полезная нагрузка использует имя файла, по которому вредоносная программа выглядит как законное программное обеспечение, связанное со звуком, с такими именами, как Audiolava.exe, QuickAudio.exe и converter.exe. Вредоносная программа устанавливается так же, как и легитимное программное обеспечение, и к ней можно получить доступ через Настройки> Приложения и функции, и она регистрируется как служба Windows с тем же именем файла.

После установки Adrozek вносит несколько изменений в браузер и систему, в которой он работает. В Chrome, например, вредоносная программа часто вносит изменения в службу Chrome Media Router. Цель состоит в том, чтобы установить расширения, которые маскируются под законные, используя такие идентификаторы, как «Radioplayer».

Плохие расширения!

Расширения подключаются к серверу злоумышленника для получения дополнительного кода, который внедряет рекламу в результаты поиска. Расширения также отправляют злоумышленникам информацию о зараженном компьютере, а в Firefox они также пытаются украсть учетные данные. Вредоносная программа продолжает вмешиваться в определенные файлы DLL. В Edge, например, вредоносная программа модифицирует MsEdge.dll, чтобы отключить элементы управления безопасностью, которые помогают обнаруживать несанкционированные изменения в файле настроек безопасности.

READ  Пользователи iPhone и iPad сообщают о сбоях в работе сторонних приложений после синхронизации с MacBook на базе M1

Этот метод и аналогичные методы для других затронутых браузеров имеют потенциально серьезные последствия. Помимо прочего, Файл настроек проверяет целостность значений различных файлов и настроек. Обнуляя эту проверку, Adrozek открывает браузеры для других атак. Вредоносная программа также добавляет новые разрешения к файлу.

Ниже приведен снимок экрана, на котором показаны те, которые были добавлены в Edge:

Затем вредоносная программа вносит изменения в настройки системы, чтобы обеспечить ее запуск при каждом перезапуске браузера или компьютера. С этого момента Adrozek будет внедрять рекламу, которая либо сопровождает объявления, обслуживаемые поисковой системой, либо размещается поверх них.

В сообщении, опубликованном в четверг, прямо не говорится, какое взаимодействие с пользователем требуется для заражения. Также неясно, какой эффект имеют средства защиты, такие как Контроль учетных записей пользователей. Microsoft не упоминает об атаке на браузеры под управлением macOS или Linux, поэтому, вероятно, эта кампания затронет только пользователей Windows. Представители Microsoft не ответили на электронное письмо с запросом подробностей.

В кампании используется метод, называемый полиморфизмом, для извлечения сотен тысяч уникальных образцов. Это делает неэффективной сигнатурную антивирусную защиту. Многие антивирусные решения, в том числе Microsoft Defender, содержат обнаружение на основе поведения и машинного обучения, которое более эффективно против таких вредоносных программ.