Microsoft avverte riguardo a una campagna di malware che infetta Chrome, Edge e Firefox

Microsoft giovedì ha avvertito in un post sul blog riguardo a una nuova campagna di malware progettata per iniettare silenziosamente annunci nei risultati di ricerca, che colpisce più browser, tra cui Microsoft Edge, Google Chrome, Yandex Browser e Mozilla Firefox.

Secondo Microsoft, una campagna di malware persistente ha attivamente distribuito un malware modificatore del browser evoluto su larga scala almeno da maggio 2020. Nell’agosto 2020, la minaccia ha raggiunto il suo picco, con oltre 30.000 dispositivi infettati dal malware ogni giorno.

“Chiamiamo questa famiglia di modificatori del browser Adrozek. Se non viene rilevato e bloccato, Adrozek aggiunge estensioni del browser, modifica un DLL specifico per il browser target e cambia le impostazioni del browser per inserire annunci aggiuntivi e non autorizzati nelle pagine web, spesso sopra annunci legittimi dei motori di ricerca,” ha scritto il Team di Microsoft.

“L’effetto previsto è che gli utenti, cercando determinate parole chiave, clicchino involontariamente su questi annunci inseriti dal malware, che portano a pagine affiliate. Gli attaccanti guadagnano attraverso programmi di pubblicità affiliata, che pagano in base alla quantità di traffico riferito a pagine affiliate sponsorizzate.”

Secondo il Team di Microsoft, il malware di modifica del browser non è necessariamente nuovo o così avanzato, ma il fatto che questa campagna utilizzi un pezzo di malware che colpisce più browser è un’indicazione di come questo tipo di minaccia continui a diventare sempre più sofisticato. Inoltre, il malware mantiene la persistenza ed esfiltra le credenziali dei siti web, esponendo i dispositivi colpiti a rischi aggiuntivi.

Il monitoraggio di Microsoft della campagna Adrozek da maggio a settembre 2020 ha visto 159 domini unici utilizzati per distribuire centinaia di migliaia di campioni unici di malware, ciascuno ospitante in media 17.300 URL unici, che a loro volta ospitano più di 15.300 campioni di malware unici e polimorfici in media.

Da maggio a settembre 2020, il gigante tecnologico di Redmond ha registrato centinaia di migliaia di incontri con il malware Adrozek in tutto il mondo, con una forte concentrazione in Europa, Asia meridionale e Asia sudorientale.

Il malware Adrozek viene installato sui dispositivi tramite un download automatico. Gli attaccanti si sono affidati pesantemente al polimorfismo, che consente loro di generare enormi volumi di campioni e di eludere il rilevamento.

L’infrastruttura di distribuzione è anche molto dinamica. Alcuni dei domini sono stati attivi solo per un giorno, mentre altri sono stati attivi per periodi più lunghi fino a 120 giorni. È interessante notare che alcuni dei domini distribuivano file puliti come Process Explorer, che probabilmente era un tentativo da parte degli attaccanti di migliorare la reputazione dei loro domini e URL ed eludere le protezioni basate su rete.

Microsoft ha descritto la catena di attacco di Adrozek nell’immagine qui sotto:

Come si può vedere nell’immagine sopra, l’installer del dominio scarica un file .exe con un nome di file casuale nella cartella %temp%. Questo file scarica il payload principale nella cartella Program Files utilizzando un nome di file che lo fa sembrare un software legittimo relativo all’audio. Il malware utilizza vari nomi come Audiolava.exe, QuickAudio.exe e converter.exe.

Una volta installato, Adrozek apporta molteplici modifiche alle impostazioni e ai componenti del browser, inclusa la homepage predefinita, aggiunge nuove estensioni del browser, cambia i file DLL nel browser, il motore di ricerca predefinito del browser, la pianificazione degli aggiornamenti, le impostazioni delle autorizzazioni e molto altro, al fine di consentire al malware di iniettare annunci nelle pagine dei risultati dei motori di ricerca.

Se non fosse abbastanza, in Mozilla Firefox, il malware Adrozek ruba anche le credenziali degli utenti dal browser, che vengono poi comunicate ai server degli attaccanti.

“Sebbene molti dei domini ospitassero decine di migliaia di URL, alcuni avevano più di 100.000 URL unici, con uno che ospitava quasi 250.000. Questa massiccia infrastruttura riflette quanto siano determinati gli attaccanti a mantenere operativa questa campagna,” ha aggiunto Microsoft.

Microsoft consiglia agli utenti finali che trovano questo malware sui loro dispositivi di reinstallare i loro browser. Inoltre, ha anche aggiunto che gli utenti dovrebbero informarsi su come prevenire le infezioni da malware e sui rischi di scaricare e installare software da fonti non affidabili e cliccare su annunci o link su siti web sospetti.

Come misura precauzionale, gli utenti finali dovrebbero assicurarsi che il loro software di sicurezza e i sistemi operativi siano aggiornati. Per quanto riguarda le imprese, dovrebbero cercare di ridurre la superficie di attacco implementando il controllo delle applicazioni per forzare l’uso solo di app e servizi autorizzati.