Новое вредоносное ПО Microsoft может заразить более 30 тысяч компьютеров с Windows в день

Серджиу Гатлан

  • 11 декабря 2020 г.
  • 8:59 утра

вредоносный, microsoft, более, компьютер

Microsoft предупредила о продолжающейся кампании по продвижению новой вредоносной программы для взлома браузера и кражи учетных данных, получившей название Adrozek, которая на пике своего развития могла ежедневно захватывать более 30 000 устройств.

На взломанных компьютерах Adrozek внедряет рекламу на страницы результатов поисковых систем и может захватить Microsoft Edge, Google Chrome, Яндекс Браузер и Mozilla Firefox.

Вредоносная программа использует вредоносные скрипты, загруженные с серверов, контролируемых ее операторами, для внедрения рекламы после изменения настроек и компонентов взломанного веб-браузера.

«Конечным пользователям, которые обнаруживают эту угрозу на своих устройствах, рекомендуется переустановить свои браузеры». заявила исследовательская группа Microsoft 365 Defender.

«Если не обнаружено и не заблокировано, Adrozek добавляет расширения браузера, изменяет определенную DLL для каждого целевого браузера и изменяет настройки браузера, чтобы вставлять дополнительные, неавторизованные объявления на веб-страницы, часто поверх законной рекламы из поисковых систем».

Хотя Microsoft еще не нашла доказательств того, что Adrozek использовался для распространения вредоносных программ на компьютеры своих жертв с помощью внедренной рекламы, это может произойти в любой момент.

READ  Проблемы, сбои и ошибки Cyberpunk 2077, с которыми сталкиваются геймеры PlayStation 4, XBOX

Злоумышленники могут легко переключиться на заражение своих целей дополнительными вредоносными нагрузками или на продажу своего доступа для доставки вредоносного ПО другим группировкам киберпреступников.

«Злоумышленники Adrozek, однако, действуют так же, как и другие модификаторы браузера, то есть зарабатывают через партнерские рекламные программы, которые платят за реферальный трафик на определенные веб-сайты». добавила Microsoft.

«Предполагаемый эффект заключается в том, что пользователи, выполняющие поиск по определенным ключевым словам, непреднамеренно нажимают на эти объявления с вредоносным ПО, которые ведут на аффилированные страницы.

«Злоумышленники зарабатывают через партнерские рекламные программы, которые платят за объем трафика, перенаправленного на спонсируемые аффилированные страницы».

Сотни тысяч зараженных устройств

Видя, что эта масштабная кампания все еще активна и ежедневно распространяется на новые компьютеры, инфраструктура Adrozek продолжает расширяться и добавлять новые домены хоста, используемые для внедрения новых и уникальных вредоносных программ.

«Инфраструктура распространения также очень динамична. Некоторые из доменов работали всего один день, а другие были активны дольше, до 120 дней». заявили в Microsoft.

«Интересно, что мы видели некоторые домены, распространяющие чистые файлы, такие как Process Explorer, вероятно, попытка злоумышленников улучшить репутацию своих доменов и URL-адресов и обойти сетевые средства защиты».

READ  Утечка в чехле Samsung Galaxy S21 Ultra с поддержкой S Pen

Возможности Adrozek

В период с мая по сентябрь 2020 года злоумышленники, стоящие за кампанией вредоносного ПО Adrozek, заразили свои цели с помощью скрытых загрузок, когда они приземлились на одном из 159 доменов, используемых для распространения сотен тысяч образцов Adrozek.

Будучи полиморфным штаммом вредоносного ПО, Adrozek также избегает обнаружения, а также позволяет операторам легко развертывать огромные объемы новых образцов в своей инфраструктуре доставки.

«В то время как многие из доменов содержали десятки тысяч URL-адресов, некоторые из них имели более 100 000 уникальных URL-адресов, а на одном размещалось почти 250 000». добавила Microsoft.

«Эта огромная инфраструктура отражает решимость злоумышленников продолжать эту кампанию».

Жертвам предоставляется сильно обфусцированный вредоносный исполняемый файл, который сохраняется в папке% temp% компьютера, двоичный файл, который позже удаляет и устанавливает основную полезную нагрузку, замаскированную под законное звуковое программное обеспечение, в Program Files.

После установки на устройство Adrozek начнет добавлять вредоносные скрипты, которые он использует для вставки рекламы в несколько расширений, предназначенных для каждого из браузеров, которые он захватывает.

READ  Не Работает Мышь На Компьютере

Вредоносная программа отключит элементы управления безопасностью в Microsoft Edge и других веб-браузерах на базе Chromium, отключит безопасный просмотр и включит захваченные расширения в режиме инкогнито.

Он также отключит автоматические обновления браузера на зараженных компьютерах, чтобы гарантировать, что захваченные компоненты браузера не будут восстановлены до чистой версии.

Adrozek получает настойчивость, добавляя записи в реестр и создавая новую службу Windows под названием «Основная служба», чтобы основная полезная нагрузка вредоносного ПО запускалась автоматически при запуске системы.

В системах, где установлен Mozilla Firefox, Adrozek также украдет зашифрованные учетные данные пользователя из профиля Firefox жертвы, учетные данные, которые он позже расшифрует и отправит своим операторам.

«Благодаря этой дополнительной функции Adrozek выделяется среди других модификаторов браузера и демонстрирует, что не существует таких вещей, как низкоприоритетные или несрочные угрозы». заключил Microsoft.

«И хотя основная цель вредоносного ПО. внедрить рекламу и направить трафик на определенные веб-сайты, цепочка атак включает изощренное поведение, которое позволяет злоумышленникам прочно закрепиться на устройстве».