Microsoft предупреждает о кампании вредоносного ПО, заражающей Chrome, Edge и Firefox

Microsoft в четверг предупредила в блоге о новой кампании вредоносного ПО, которая предназначена для тихой вставки рекламы в результаты поиска, затрагивая несколько браузеров, включая Microsoft Edge, Google Chrome, Яндекс.Браузер и Mozilla Firefox.

Согласно Microsoft, постоянная кампания вредоносного ПО активно распространяет эволюционировавшее вредоносное ПО для модификации браузеров в больших масштабах с мая 2020 года. В августе 2020 года угроза достигла своего пика, когда более 30 000 устройств ежедневно заражались вредоносным ПО.

«Мы называем эту семью модификаторов браузеров Adrozek. Если не обнаружить и не заблокировать, Adrozek добавляет расширения браузера, модифицирует определенный DLL для целевого браузера и изменяет настройки браузера, чтобы вставить дополнительные, несанкционированные объявления на веб-страницы, часто поверх легитимной рекламы от поисковых систем», - написала команда Microsoft.

«Предполагаемый эффект заключается в том, что пользователи, ищущие определенные ключевые слова, невольно нажимают на эти вставленные вредоносным ПО объявления, которые ведут на аффилированные страницы. Нападающие зарабатывают через программы аффилированной рекламы, которые платят за количество трафика, направленного на спонсируемые аффилированные страницы.»

Согласно команде Microsoft, вредоносное ПО для модификации браузеров не является чем-то новым или особенно продвинутым, но тот факт, что эта кампания использует вредоносное ПО, которое затрагивает несколько браузеров, указывает на то, как этот тип угрозы продолжает становиться все более сложным. Кроме того, вредоносное ПО сохраняет постоянство и эксфильтрует учетные данные веб-сайтов, подвергая затронутые устройства дополнительным рискам.

Отслеживание кампании Adrozek Microsoft с мая по сентябрь 2020 года показало 159 уникальных доменов, использованных для распространения сотен тысяч уникальных образцов вредоносного ПО, каждый из которых хостил в среднем 17 300 уникальных URL, которые, в свою очередь, хостили более 15 300 уникальных полиморфных образцов вредоносного ПО в среднем.

С мая по сентябрь 2020 года технологический гигант из Редмонда зафиксировал сотни тысяч встреч с вредоносным ПО Adrozek по всему миру, с высокой концентрацией в Европе, Южной Азии и Юго-Восточной Азии.

Вредоносное ПО Adrozek устанавливается на устройства через загрузку без ведома пользователя. Нападающие сильно полагались на полиморфизм, который позволяет им создавать огромные объемы образцов, а также избегать обнаружения.

Инфраструктура распространения также очень динамична. Некоторые домены были активны всего один день, в то время как другие работали дольше, до 120 дней. Интересно, что некоторые домены распространяли чистые файлы, такие как Process Explorer, что, вероятно, было попыткой нападающих улучшить репутацию своих доменов и URL и избежать сетевых защит.

Microsoft описала цепочку атак Adrozek на изображении ниже:

Как видно на изображении выше, установщик с домена сбрасывает .exe файл с случайным именем в папку %temp%. Этот файл сбрасывает основной полезный груз в папку Program Files, используя имя файла, которое делает его похожим на легитимное программное обеспечение, связанное с аудио. Вредоносное ПО использует различные имена, такие как Audiolava.exe, QuickAudio.exe и converter.exe.

После установки Adrozek вносит множество изменений в настройки и компоненты браузера, включая домашнюю страницу по умолчанию, добавляет новые расширения браузера, изменяет DLL-файлы в браузере, поисковую систему по умолчанию, расписание обновлений, настройки разрешений и многое другое, чтобы позволить вредоносному ПО вставлять рекламу в страницы результатов поисковых систем.

Если этого было недостаточно, в Mozilla Firefox вредоносное ПО Adrozek также крадет учетные данные пользователя из браузера, которые затем передаются на серверы нападающих.

«Хотя многие из доменов хранили десятки тысяч URL, некоторые имели более 100 000 уникальных URL, один из которых хранил почти 250 000. Эта огромная инфраструктура отражает, насколько решительны нападающие, чтобы поддерживать эту кампанию в рабочем состоянии», - добавила Microsoft.

Microsoft советует конечным пользователям, которые обнаружили это вредоносное ПО на своих устройствах, переустановить свои браузеры. Кроме того, она добавила, что пользователи должны обучаться предотвращению инфекций вредоносным ПО и рискам загрузки и установки программного обеспечения из ненадежных источников, а также нажимать на рекламу или ссылки на подозрительных веб-сайтах.

В качестве меры предосторожности конечные пользователи должны убедиться, что их антивирусное программное обеспечение и операционные системы обновлены. Что касается предприятий, им следует стремиться уменьшить поверхность атаки, внедряя контроль приложений для обеспечения использования только авторизованных приложений и услуг.