Microsoft Avertit D'une Campagne de Malware Infectant Chrome, Edge et Firefox

Microsoft a averti jeudi dans un article de blog d’une nouvelle campagne de malware conçue pour injecter silencieusement des publicités dans les résultats de recherche, affectant plusieurs navigateurs, y compris Microsoft Edge, Google Chrome, Yandex Browser et Mozilla Firefox.

Selon Microsoft, une campagne de malware persistante distribue activement un malware modificateur de navigateur évolué à grande échelle depuis au moins mai 2020. En août 2020, la menace était à son apogée, avec plus de 30 000 appareils infectés par le malware chaque jour.

« Nous appelons cette famille de modificateurs de navigateur Adrozek. Si elle n’est pas détectée et bloquée, Adrozek ajoute des extensions de navigateur, modifie un DLL spécifique par navigateur cible et change les paramètres du navigateur pour insérer des publicités supplémentaires non autorisées dans les pages web, souvent au-dessus des publicités légitimes des moteurs de recherche », a écrit l’équipe de Microsoft.

« L’effet recherché est que les utilisateurs, recherchant certains mots-clés, cliquent involontairement sur ces publicités insérées par le malware, qui mènent à des pages affiliées. Les attaquants gagnent grâce à des programmes de publicité affiliée, qui paient en fonction du trafic référé vers des pages affiliées sponsorisées. »

Selon l’équipe de Microsoft, le malware de modification de navigateur n’est pas nécessairement nouveau ou très avancé, mais le fait que cette campagne utilise un morceau de malware qui affecte plusieurs navigateurs est une indication de la manière dont ce type de menace continue de devenir de plus en plus sophistiqué. De plus, le malware maintient sa persistance et exfiltre les identifiants de site web, exposant les appareils affectés à des risques supplémentaires.

Le suivi par Microsoft de la campagne Adrozek de mai à septembre 2020 a révélé 159 domaines uniques utilisés pour distribuer des centaines de milliers d’échantillons de malware uniques, chacun hébergeant en moyenne 17 300 URL uniques, qui à leur tour hébergent plus de 15 300 échantillons de malware polymorphes uniques en moyenne.

De mai à septembre 2020, le géant technologique de Redmond a enregistré des centaines de milliers de rencontres avec le malware Adrozek à travers le monde, avec une forte concentration en Europe, en Asie du Sud et en Asie du Sud-Est.

Le malware Adrozek est installé sur les appareils via un téléchargement involontaire. Les attaquants dépendent fortement du polymorphisme, ce qui leur permet de produire d’énormes volumes d’échantillons ainsi que d’échapper à la détection.

L’infrastructure de distribution est également très dynamique. Certains des domaines n’étaient actifs qu’un jour, tandis que d’autres l’étaient pendant plus de 120 jours. Fait intéressant, certains des domaines distribuaient des fichiers propres comme Process Explorer, ce qui était probablement une tentative des attaquants d’améliorer la réputation de leurs domaines et URL et d’échapper aux protections basées sur le réseau.

Microsoft a décrit la chaîne d’attaque d’Adrozek dans l’image ci-dessous :

Comme on peut le voir dans l’image ci-dessus, l’installateur du domaine dépose un fichier .exe avec un nom de fichier aléatoire dans le dossier %temp%. Ce fichier dépose la charge utile principale dans le dossier Program Files en utilisant un nom de fichier qui le fait passer pour un logiciel audio légitime. Le malware utilise divers noms comme Audiolava.exe, QuickAudio.exe et converter.exe.

Une fois installé, Adrozek effectue plusieurs modifications des paramètres et composants du navigateur, y compris la page d’accueil par défaut, ajoute de nouvelles extensions de navigateur, change les fichiers DLL dans le navigateur, le moteur de recherche par défaut du navigateur, le calendrier de mise à jour, les paramètres de permissions, et bien plus encore, afin de permettre au malware d’injecter des publicités dans les pages de résultats des moteurs de recherche.

Si cela ne suffisait pas, dans Mozilla Firefox, le malware Adrozek vole également les identifiants des utilisateurs du navigateur qui sont ensuite communiqués aux serveurs des attaquants.

« Bien que de nombreux domaines hébergent des dizaines de milliers d’URL, quelques-uns en avaient plus de 100 000 uniques, l’un d’eux en hébergeant presque 250 000. Cette infrastructure massive reflète la détermination des attaquants à maintenir cette campagne opérationnelle », a ajouté Microsoft.

Microsoft conseille aux utilisateurs finaux qui trouvent ce malware sur leurs appareils de réinstaller leurs navigateurs. De plus, il a également ajouté que les utilisateurs devraient s’informer sur la prévention des infections par malware et les risques de téléchargement et d’installation de logiciels provenant de sources non fiables et de cliquer sur des publicités ou des liens sur des sites web suspects.

En tant que mesure de précaution, les utilisateurs finaux devraient s’assurer que leur logiciel de sécurité et leurs systèmes d’exploitation sont à jour. Quant aux entreprises, elles devraient chercher à réduire la surface d’attaque en mettant en œuvre un contrôle des applications pour n’autoriser que l’utilisation d’applications et de services autorisés.