Microsoft warnt vor Malware-Kampagne, die Chrome, Edge und Firefox infiziert

Microsoft warnte am Donnerstag in einem Blogbeitrag vor einer neuen Malware-Kampagne, die darauf abzielt, heimlich Anzeigen in Suchergebnissen einzufügen und mehrere Browser zu betreffen, darunter Microsoft Edge, Google Chrome, Yandex Browser und Mozilla Firefox.

Laut Microsoft wird seit mindestens Mai 2020 eine persistente Malware-Kampagne aktiv betrieben, die eine weiterentwickelte Browser-Modifikations-Malware in großem Maßstab verteilt. Im August 2020 erreichte die Bedrohung ihren Höhepunkt, als täglich über 30.000 Geräte von der Malware infiziert wurden.

„Wir nennen diese Familie von Browser-Modifikatoren Adrozek. Wenn sie nicht erkannt und blockiert wird, fügt Adrozek Browsererweiterungen hinzu, modifiziert eine bestimmte DLL pro Zielbrowser und ändert die Browsereinstellungen, um zusätzliche, nicht autorisierte Anzeigen in Webseiten einzufügen, oft über legitimen Anzeigen von Suchmaschinen“, schrieb das Microsoft-Team.

„Die beabsichtigte Wirkung ist, dass Benutzer, die nach bestimmten Schlüsselwörtern suchen, unbeabsichtigt auf diese von Malware eingefügten Anzeigen klicken, die zu affiliierten Seiten führen. Die Angreifer verdienen durch Affiliate-Werbeprogramme, die nach der Menge des verwiesenen Traffics zu gesponserten affiliierten Seiten bezahlen.“

Laut dem Microsoft-Team ist Browser-Modifikations-Malware nicht unbedingt neu oder besonders fortschrittlich, aber die Tatsache, dass diese Kampagne ein Stück Malware nutzt, das mehrere Browser betrifft, ist ein Hinweis darauf, wie diese Bedrohungsart zunehmend komplexer wird. Darüber hinaus bleibt die Malware persistent und exfiltriert Website-Anmeldeinformationen, wodurch betroffene Geräte zusätzlichen Risiken ausgesetzt werden.

Microsofts Verfolgung der Adrozek-Kampagne von Mai bis September 2020 ergab 159 einzigartige Domains, die zur Verbreitung von Hunderttausenden einzigartiger Malware-Proben verwendet wurden, wobei jede im Durchschnitt 17.300 einzigartige URLs hostete, die wiederum im Durchschnitt mehr als 15.300 einzigartige, polymorphe Malware-Proben hosten.

Von Mai bis September 2020 verzeichnete der Technologieriese aus Redmond Hunderttausende von Begegnungen mit der Adrozek-Malware weltweit, mit einer starken Konzentration in Europa, Südasien und Südostasien.

Die Adrozek-Malware wird über einen Drive-by-Download auf Geräten installiert. Die Angreifer verließen sich stark auf Polymorphismus, der es ihnen ermöglicht, große Mengen von Proben zu erzeugen und gleichzeitig der Erkennung zu entkommen.

Die Verteilungsinfrastruktur ist ebenfalls sehr dynamisch. Einige der Domains waren nur einen Tag lang aktiv, während andere bis zu 120 Tage aktiv waren. Interessanterweise verteilten einige der Domains saubere Dateien wie Process Explorer, was wahrscheinlich ein Versuch der Angreifer war, den Ruf ihrer Domains und URLs zu verbessern und netzwerkbasierte Schutzmaßnahmen zu umgehen.

Microsoft hat die Angriffsstruktur von Adrozek im Bild unten beschrieben:

Wie im obigen Bild zu sehen ist, legt der Installer von der Domain eine .exe-Datei mit einem zufälligen Dateinamen im %temp%-Ordner ab. Diese Datei legt die Hauptlast im Program Files-Ordner mit einem Dateinamen ab, der sie wie legitime audioverwandte Software aussehen lässt. Die Malware verwendet verschiedene Namen wie Audiolava.exe, QuickAudio.exe und converter.exe.

Sobald Adrozek installiert ist, nimmt es mehrere Änderungen an den Browsereinstellungen und -komponenten vor, einschließlich der Standard-Homepage, fügt neue Browsererweiterungen hinzu, ändert die DLL-Dateien im Browser, die Standardsuchmaschine des Browsers, den Aktualisierungszeitplan, die Berechtigungseinstellungen und vieles mehr, um der Malware zu ermöglichen, Anzeigen in den Suchergebnisseiten der Suchmaschinen einzufügen.

Wenn das nicht genug wäre, stiehlt die Adrozek-Malware in Mozilla Firefox auch Benutzeranmeldeinformationen aus dem Browser, die dann an die Server des Angreifers zurückkommuniziert werden.

„Während viele der Domains Zehntausende von URLs hosteten, hatten einige mehr als 100.000 einzigartige URLs, wobei eine fast 250.000 hostete. Diese massive Infrastruktur spiegelt wider, wie entschlossen die Angreifer sind, diese Kampagne am Laufen zu halten“, fügte Microsoft hinzu.

Microsoft rät Endbenutzern, die diese Malware auf ihren Geräten finden, ihre Browser neu zu installieren. Darüber hinaus fügte es hinzu, dass Benutzer sich über die Verhinderung von Malware-Infektionen und die Risiken des Herunterladens und Installierens von Software aus unzuverlässigen Quellen sowie das Klicken auf Anzeigen oder Links auf verdächtigen Websites informieren sollten.

Als Vorsichtsmaßnahme sollten Endbenutzer sicherstellen, dass ihre Sicherheitssoftware und Betriebssysteme auf dem neuesten Stand sind. Was Unternehmen betrifft, sollten sie versuchen, die Angriffsfläche zu reduzieren, indem sie die Anwendungssteuerung implementieren, um die Verwendung nur autorisierter Apps und Dienste durchzusetzen.