Microsoft advierte sobre una campaña de malware que infecta Chrome, Edge y Firefox

Microsoft advirtió el jueves en una publicación de blog sobre una nueva campaña de malware que está diseñada para inyectar anuncios silenciosamente en los resultados de búsqueda, afectando a múltiples navegadores, incluyendo Microsoft Edge, Google Chrome, Yandex Browser y Mozilla Firefox.

Según Microsoft, una campaña de malware persistente ha estado distribuyendo activamente un malware modificador de navegador evolucionado a gran escala desde al menos mayo de 2020. En agosto de 2020, la amenaza alcanzó su punto máximo, donde más de 30,000 dispositivos fueron infectados por el malware cada día.

“Llamamos a esta familia de modificadores de navegador Adrozek. Si no se detecta y bloquea, Adrozek agrega extensiones de navegador, modifica un DLL específico por navegador objetivo y cambia la configuración del navegador para insertar anuncios adicionales no autorizados en las páginas web, a menudo encima de anuncios legítimos de motores de búsqueda”, escribió el equipo de Microsoft.

“El efecto deseado es que los usuarios, al buscar ciertas palabras clave, hagan clic inadvertidamente en estos anuncios insertados por el malware, que conducen a páginas afiliadas. Los atacantes ganan a través de programas de publicidad afiliada, que pagan por la cantidad de tráfico referido a páginas afiliadas patrocinadas.”

Según el equipo de Microsoft, el malware de modificación de navegador no es necesariamente nuevo ni tan avanzado, pero el hecho de que esta campaña utilice un malware que afecta a múltiples navegadores es una indicación de cómo este tipo de amenaza continúa siendo cada vez más sofisticada. Además, el malware mantiene persistencia y exfiltra credenciales de sitios web, exponiendo a los dispositivos afectados a riesgos adicionales.

El seguimiento de Microsoft de la campaña Adrozek desde mayo hasta septiembre de 2020 vio 159 dominios únicos utilizados para distribuir cientos de miles de muestras únicas de malware, cada uno albergando un promedio de 17,300 URL únicas, que a su vez albergan más de 15,300 muestras de malware polimórfico únicas en promedio.

Desde mayo hasta septiembre de 2020, el gigante tecnológico de Redmond registró cientos de miles de encuentros con el malware Adrozek en todo el mundo, con una fuerte concentración en Europa, Asia del Sur y Asia Sudeste.

El malware Adrozek se instala en los dispositivos a través de una descarga automática. Los atacantes dependían en gran medida del polimorfismo, lo que les permite generar grandes volúmenes de muestras así como evadir la detección.

La infraestructura de distribución también es muy dinámica. Algunos de los dominios estuvieron activos solo un día, mientras que otros estuvieron activos por más tiempo, hasta 120 días. Curiosamente, algunos de los dominios estaban distribuyendo archivos limpios como Process Explorer, lo que probablemente fue un intento de los atacantes de mejorar la reputación de sus dominios y URL y evadir las protecciones basadas en la red.

Microsoft ha descrito la cadena de ataque de Adrozek en la imagen a continuación:

Como se puede ver en la imagen anterior, el instalador del dominio deja caer un archivo .exe con un nombre de archivo aleatorio en la carpeta %temp%. Este archivo deja caer la carga principal en la carpeta de Archivos de Programa utilizando un nombre de archivo que lo hace parecer un software legítimo relacionado con audio. El malware utiliza varios nombres como Audiolava.exe, QuickAudio.exe y converter.exe.

Una vez instalado, Adrozek realiza múltiples cambios en la configuración y componentes del navegador, incluyendo la página de inicio predeterminada, agrega nuevas extensiones de navegador, cambia los archivos DLL en el navegador, el motor de búsqueda predeterminado del navegador, el horario de actualizaciones, la configuración de permisos y mucho más, para permitir que el malware inyecte anuncios en las páginas de resultados de los motores de búsqueda.

Si esto no fuera suficiente, en Mozilla Firefox, el malware Adrozek también roba las credenciales del usuario del navegador, que luego se comunican de vuelta a los servidores del atacante.

“Si bien muchos de los dominios alojaban decenas de miles de URL, algunos tenían más de 100,000 URL únicas, con uno que alojaba casi 250,000. Esta infraestructura masiva refleja cuán decididos están los atacantes para mantener esta campaña operativa”, agregó Microsoft.

Microsoft aconseja a los usuarios finales que encuentren este malware en sus dispositivos que reinstalen sus navegadores. Además, también agregó que los usuarios deben educarse sobre cómo prevenir infecciones de malware y los riesgos de descargar e instalar software de fuentes no confiables y hacer clic en anuncios o enlaces en sitios web sospechosos.

Como medida de precaución, los usuarios finales deben asegurarse de que su software de seguridad y sistemas operativos estén actualizados. En cuanto a las empresas, deben buscar reducir la superficie de ataque implementando control de aplicaciones para hacer cumplir el uso de solo aplicaciones y servicios autorizados.