Google Chrome, Firefox и другие браузеры, пострадавшие от масштабной кампании вредоносного ПО Технология Microsoft

Microsoft заявила, что с мая по сентябрь она зафиксировала сотни тысяч случаев атак вредоносного ПО, происходивших во всем мире через Adrozek.

google, chrome, firefox, браузеры

Microsoft заявила, что вредоносные атаки с использованием Adrozek распространяются по всему миру.

  • Microsoft заявила, что Adrozek добавляет вредоносные расширения для браузера
  • Вредоносная кампания масштабируется как минимум с мая.
  • В отчете Microsoft не приводится подробное описание области применения macOS и Linux.

Microsoft объявила в четверг, что на браузеры Google Chrome, Firefox, Microsoft Edge и Яндекс влияет продолжающаяся кампания вредоносного ПО, которая предназначена для вставки рекламы в результаты поиска и добавления вредоносных расширений для браузеров. Новое семейство вредоносных программ, получившее название Adrozek, масштабируется по крайней мере с мая этого года, а пик атак пришелся на август, когда угроза обнаруживалась на более чем 30 000 устройств каждый день.

Microsoft заявила, что с мая по сентябрь она зафиксировала сотни тысяч обнаружений вредоносного ПО Adrozek по всему миру. Компания отслеживала 159 уникальных доменов, каждый из которых содержит в среднем 17 300 уникальных URL-адресов, которые, в свою очередь, содержат в среднем более 15 300 различных полиморфных образцов вредоносного ПО.

Конечная цель новой кампании по борьбе с вредоносными программами. направить пользователей на аффилированные страницы, показывая рекламу с вредоносным ПО в результатах поиска. Однако, чтобы начать действие, вредоносная программа незаметно добавляет вредоносные расширения браузера и изменяет настройки браузера, чтобы вставлять рекламу на веб-страницы. часто поверх законной рекламы из поисковых систем. Также утверждается, что он изменяет DLL для каждого целевого браузера, например MsEdge.dll в Microsoft Edge, для отключения контроля безопасности.

READ  Французская сторожевая организация CNIL оштрафовала Google на 100 миллионов евро, Amazon - на 35 миллионов евро за нарушение

Исследовательская группа Microsoft 365 Defender Research отметила в своем блоге, что хотя киберпреступники, злоупотребляющие партнерскими программами, не новость, в этой кампании использовалось вредоносное ПО, которое затронуло несколько браузеров. Вредоносная программа также извлекает учетные данные веб-сайта, что может представлять дополнительные риски для пользователей.

Что отличает Adrozek от более ранних вредоносных программ, так это то, что он устанавливается на устройства «путем прямой загрузки», в которых имена файлов установщика имеют стандартный формат setup_.exe. При запуске установщик помещает файл.exe со случайным именем во временную папку, который, в свою очередь, удаляет основную полезную нагрузку в папке Program Files. Эта полезная нагрузка выглядит как легальное программное обеспечение, связанное со звуком, и носит такие имена, как Audiolava.exe, QuickAudio.exe или converter.exe.

Исследователи обнаружили, что вредоносная программа устанавливается так же, как и обычная программа, и к ней можно получить доступ через настройки приложений и функций. Он также зарегистрирован как служба Windows с тем же именем. Эти уловки могут уберечь его от попадания в обычное антивирусное ПО.

READ  Часы Xiaomi 4 Водонепроницаемые Или Нет

Однако, как и любое другое вредоносное ПО, после установки Adrozek вносит изменения в определенные расширения браузера. Команда Microsoft отметила это специально в Google Chrome. Обычно он изменяет стандартное расширение «Chrome Media Router». Точно так же в Microsoft Edge и Яндекс браузере он использует идентификаторы легитимных расширений, таких как «Radioplayer».

«Несмотря на то, что в каждом браузере нацелены на разные расширения, вредоносное ПО добавляет к этим расширениям одни и те же вредоносные скрипты». заявила группа исследователей Microsoft в своем блоге.

Вредоносные скрипты помогают злоумышленникам установить соединение со своим сервером и получить дополнительные скрипты, которые позволяют внедрять рекламу в результаты поиска.

«Раньше модификаторы браузера вычисляли хэши, как и браузеры, и соответствующим образом обновляли настройки безопасности. Адрозек идет еще дальше и исправляет функцию, запускающую проверку целостности ». говорится в сообщении.

Adrozek также может предотвратить обновление браузеров до последних версий, добавив политику отключения обновлений. Кроме того, он изменяет системные настройки, чтобы иметь дополнительный контроль над взломанным устройством.

По словам исследователей, адрозек в значительной степени сосредоточен в Европе, Южной и Юго-Восточной Азии. Однако, поскольку кампания все еще активна, со временем она может расшириться на другие регионы.

READ  Более пристальный взгляд на Google Pixel 5 Назад; Это металл, пластик или и то, и другое

Microsoft предлагает пользователям установить антивирусное решение, такое как Microsoft Defender Antivirus, которое имеет встроенное решение для защиты конечных точек, которое использует обнаружение на основе поведения, основанное на машинном обучении, для блокировки семейств вредоносных программ, включая Adrozek.

При этом масштабы последней вредоносной кампании, похоже, ограничиваются устройствами Windows, поскольку нет никаких данных, чтобы подчеркнуть ее влияние на машины с macOS или Linux.

Ранее в этом году Microsoft извлекла из своих магазинов надстроек Edge список расширений, которые добавляли рекламу в результаты поиска Google и Bing. Google также предпринял аналогичные действия в Chrome Web Store, чтобы ограничить возможность злоумышленников получать прибыль, незаметно продвигая рекламу в результаты поиска. Однако такая вредоносная кампания, как Adrozek, требует более жесткого подхода, а не извлечения некоторых расширений из Интернет-магазинов.

Приведет ли Apple Silicon к выпуску доступных MacBook в Индии? Мы обсуждали это в Orbital, нашем еженедельном технологическом подкасте, на который вы можете подписаться через Apple Podcasts, Google Podcasts или RSS, загрузить выпуск или просто нажать кнопку воспроизведения ниже.