Microsoft Alerta Sobre Campanha de Malware Infectando Chrome, Edge e Firefox

Microsoft na quinta-feira alertou em um post no blog sobre uma nova campanha de malware que foi projetada para injetar anúncios silenciosamente nos resultados de busca, afetando múltiplos navegadores, incluindo Microsoft Edge, Google Chrome, Yandex Browser e Mozilla Firefox.

De acordo com a Microsoft, uma campanha persistente de malware tem distribuído ativamente um malware modificador de navegador evoluído em grande escala desde pelo menos maio de 2020. Em agosto de 2020, a ameaça estava em seu pico, onde mais de 30.000 dispositivos foram infectados pelo malware todos os dias.

“Chamamos essa família de modificadores de navegador de Adrozek. Se não for detectado e bloqueado, o Adrozek adiciona extensões de navegador, modifica um DLL específico por navegador alvo e altera as configurações do navegador para inserir anúncios adicionais e não autorizados em páginas da web, muitas vezes em cima de anúncios legítimos de motores de busca”, escreveu a equipe da Microsoft.

“O efeito pretendido é que os usuários, ao buscar certas palavras-chave, cliquem inadvertidamente nesses anúncios inseridos pelo malware, que levam a páginas afiliadas. Os atacantes ganham através de programas de publicidade afiliada, que pagam pela quantidade de tráfego referido a páginas afiliadas patrocinadas.”

De acordo com a equipe da Microsoft, o malware de modificação de navegador não é necessariamente novo ou tão avançado, mas o fato de que essa campanha utiliza um pedaço de malware que afeta múltiplos navegadores é uma indicação de como esse tipo de ameaça continua a se tornar cada vez mais sofisticado. Além disso, o malware mantém persistência e exfiltra credenciais de sites, expondo dispositivos afetados a riscos adicionais.

O rastreamento da campanha Adrozek pela Microsoft de maio a setembro de 2020 viu 159 domínios únicos usados para distribuir centenas de milhares de amostras únicas de malware, cada uma hospedando uma média de 17.300 URLs únicas, que por sua vez hospedam mais de 15.300 amostras de malware polimórfico únicas em média.

De maio a setembro de 2020, o gigante tecnológico de Redmond registrou centenas de milhares de encontros com o malware Adrozek em todo o mundo, com uma forte concentração na Europa, Sul da Ásia e Sudeste Asiático.

O malware Adrozek é instalado em dispositivos através de um download drive-by. Os atacantes dependem fortemente do polimorfismo, que lhes permite gerar grandes volumes de amostras, bem como evitar a detecção.

A infraestrutura de distribuição também é muito dinâmica. Alguns dos domínios estavam ativos por apenas um dia, enquanto outros estavam ativos por mais tempo, até 120 dias. Curiosamente, alguns dos domínios estavam distribuindo arquivos limpos como Process Explorer, que provavelmente foi uma tentativa dos atacantes de melhorar a reputação de seus domínios e URLs e evitar proteções baseadas em rede.

A Microsoft descreveu a cadeia de ataque do Adrozek na imagem abaixo:

Como pode ser visto na imagem acima, o instalador do domínio solta um arquivo .exe com um nome de arquivo aleatório na pasta %temp%. Este arquivo solta a carga principal na pasta Program Files usando um nome de arquivo que faz parecer um software legítimo relacionado a áudio. O malware usa vários nomes como Audiolava.exe, QuickAudio.exe e converter.exe.

Uma vez instalado, o Adrozek faz várias alterações nas configurações e componentes do navegador, incluindo a página inicial padrão, adiciona novas extensões de navegador, altera os arquivos DLL no navegador, o mecanismo de busca padrão do navegador, a programação de atualizações, as configurações de permissões e muito mais, a fim de permitir que o malware injetar anúncios nas páginas de resultados de motores de busca.

Se isso não fosse suficiente, no Mozilla Firefox, o malware Adrozek também rouba credenciais de usuário do navegador que são então comunicadas de volta aos servidores do atacante.

“Enquanto muitos dos domínios hospedavam dezenas de milhares de URLs, alguns tinham mais de 100.000 URLs únicas, com um hospedando quase 250.000. Essa infraestrutura massiva reflete quão determinados os atacantes estão em manter essa campanha operacional”, acrescentou a Microsoft.

A Microsoft aconselha os usuários finais que encontrarem esse malware em seus dispositivos a reinstalar seus navegadores. Além disso, também acrescentou que os usuários devem se educar sobre como prevenir infecções por malware e os riscos de baixar e instalar software de fontes não confiáveis e clicar em anúncios ou links em sites suspeitos.

Como medida de precaução, os usuários finais devem garantir que seu software de segurança e sistemas operacionais estejam atualizados. Quanto às empresas, elas devem procurar reduzir a superfície de ataque implementando controle de aplicativos para impor o uso apenas de aplicativos e serviços autorizados.