Η Microsoft εξέδωσε χθες προειδοποίηση για ένα νέο στέλεχος malware που μολύνει τις συσκευές χρηστών και στη συνέχεια τροποποιεί τα προγράμματα περιήγησης και τις ρυθμίσεις τους, προκειμένου να εισάγει διαφημίσεις σε σελίδες αποτελεσμάτων αναζήτησης. Το malware με την ονομασία «Adrozek» δραστηριοποιείται στο τοπίο των απειλών τουλάχιστον από τον Μάιο του 2020, φτάνοντας στο αποκορύφωμά του τον Αύγουστο, που ήλεγχε καθημερινά πάνω από 30.000 προγράμματα περιήγησης.
Σε μία έκθεση που κοινοποίησε χθες το Microsoft 365 Defender Research Team, ανέφερε πως πιστεύει ότι ο αριθμός των μολυσμένων χρηστών είναι πολύ υψηλότερος. Οι ερευνητές της Microsoft δήλωσαν ότι στο διάστημα μεταξύ Μαΐου και Σεπτεμβρίου 2020, παρατήρησαν εκατοντάδες χιλιάδες ανιχνεύσεις του Adrozek σε όλο τον κόσμο. Σύμφωνα με τον τεχνολογικό κολοσσό, τα περισσότερα θύματα φαίνεται να βρίσκονται στην Ευρώπη, ενώ ακολουθούν η Νότια και η Νοτιοανατολική Ασία.
Επιπλέον, η Microsoft επεσήμανε ότι το εν λόγω malware διανέμεται μέσω κλασικών drive-by downloads. Οι χρήστες συνήθως ανακατευθύνονται από νόμιμα sites σε «σκοτεινά» domains, όπου παρακινούνται να εγκαταστήσουν, εν αγνοία τους, το malware. Το boobytrapped software εγκαθιστά το Androzek malware, το οποίο στη συνέχεια αποκτά reboot persistence με τη βοήθεια ενός κλειδιού μητρώου. Στη συνέχεια, το malware αναζητά προγράμματα περιήγησης όπως o Microsoft Edge, το Google Chrome, ο Mozilla Firefox ή το Yandex.
Εάν κάποιο από αυτά τα προγράμματα περιήγησης βρίσκεται σε μολυσμένους κεντρικούς υπολογιστές, το malware θα προσπαθήσει να εγκαταστήσει μια επέκταση, τροποποιώντας τους φακέλους AppData του προγράμματος περιήγησης. Επιπλέον, το Adrozek τροποποιεί ορισμένα από τα αρχεία DLL του προγράμματος περιήγησης για να αλλάξει τις ρυθμίσεις του και να απενεργοποιήσει τις λειτουργίες ασφαλείας.
Στις τροποποιήσεις που πραγματοποιεί το Adrozek περιλαμβάνονται οι ακόλουθες:
- Απενεργοποίηση ενημερώσεων του προγράμματος περιήγησης
- Απενεργοποίηση ελέγχων ακεραιότητας αρχείων
- Απενεργοποίηση της λειτουργίας ασφαλούς περιήγησης
- Εγγραφή και ενεργοποίηση της επέκτασης που προστέθηκε σε προηγούμενο βήμα
- Επιτρέπει στην κακόβουλη επέκταση να εκτελεστεί σε κατάσταση ανώνυμης περιήγησης
- Επιτρέπει την εκτέλεση της επέκτασης χωρίς να ληφθούν οι απαραίτητες άδειες
- Απόκρυψη της επέκτασης από τη γραμμή εργαλείων
- Τροποποίηση της προεπιλεγμένης αρχικής σελίδας του προγράμματος περιήγησης
- Τροποποίηση της προεπιλεγμένης μηχανής αναζήτησης του προγράμματος περιήγησης
Με αυτόν τον τρόπο, το Adrozek αποκτά τη δυνατότητα να εισάγει διαφημίσεις σε σελίδες αποτελεσμάτων αναζήτησης, διαφημίσεις που επιτρέπουν στη συμμορία του malware να κερδίζει έσοδα κατευθύνοντας την επισκεψιμότητα προς προγράμματα παραπομπής διαφημίσεων και επισκεψιμότητας. Το Adrozek κλέβει επίσης credentials από το πρόγραμμα περιήγησης και μεταφέρει τα δεδομένα στους servers που ελέγχονται από τους χάκερς.
Η Microsoft τόνισε ότι η λειτουργία του Adrozek είναι εξαιρετικά εξελιγμένη και ειδικά όσον αφορά την υποδομή της διανομής της. Επιπλέον, ο τεχνολογικός γίγαντας εκτιμά ότι η δραστηριότητα του Adrozek θα αυξηθεί ακόμη περισσότερο τους επόμενους μήνες. Επομένως, συνιστά στους χρήστες που εντοπίζουν αυτήν την απειλή στις συσκευές τους, να επανεγκαταστήσουν τα προγράμματα περιήγησής τους.
