Microsoft upozorava na Adrozek malver
Microsoft je alarmirao javnost zbog novog soja malware-a koji inficira uređaje korisnika, a zatim nastavlja sa modifikovanjem browsera i njihovih podešavanja kako bi ubacio oglase na stranice rezultata pretrage.
Microsoft kaže da je Adrozek kontrolisao više od 30.000 uređaja dnevno
Nazvan Adrozek, zlonamerni softver aktivan je najmanje od maja 2020. godine, a svoj apsolutni vrhunac dostigao je u avgustu ove godine kada je svakodnevno kontrolisao više od 30 000 browsera. U današnjem izveštaju, tim istraživača Microsoft 365 Defender veruje da je broj zaraženih korisnika mnogo, mnogo veći. Istraživači Microsofta rekli su da su između maja i septembra 2020. godine primetili „stotine hiljada“ otkrivanja Adrozeka širom sveta. Na osnovu interne telemetrije, čini se da se najveća koncentracija žrtava nalazi u Evropi, zatim u Južnoj i Jugoistočnoj Aziji.
Kako se Adrozek širi i radi
Microsoft kaže da se trenutno zlonamerni softver distribuira putem drive-by download šema. Korisnici su obično preusmereni sa legitimnih lokacija na sumnjive domene gde na prevaru instaliraju zlonamerni softver. Boobytrapped softver instalira zlonamerni softver Androzek, koji zatim nastavlja sa reboot persistence, uz pomoć registry keya. Kada se osigura postojanost, zlonamerni softver će tražiti lokalno instalirane browsere kao što su Microsoft Edge, Google Chrome, Mozilla Firefox ili Yandex Browser. Ako se bilo koji od ovih browsera pronađe na zaraženim hostovima, zlonamerni softver će pokušati da prisilno instalira ekstenziju modifikujući direktorijume AppData u browseru. Da bi osigurao da se bezbednosne funkcije browsera ne pokreću i otkrivaju neovlašćene izmene, Adrozek takođe modifikuje neke DLL datoteke browsera da bi promenio postavke browsera.
Neke od modifikacija koje su prouzrokovane dejstvom Adrozeka uključuju:
- Onemogućavanje ažuriranja browsera
- Onemogućavanje file integrity provera
- Onemogućavanje Safe Browsing funkcije
- Registrovanje i aktiviranje ekstenzija
- Omogućavanje zlonamernim ekstenzijama da se pokreću u incognito mode
- Izmena podrazumevane početne stranice browsera
- Izmena podrazumevanog browsera
Sve ovo se radi kako bi se Adrozeku omogućilo da ubrizgava oglase na stranice rezultata pretraživanja, oglase koji omogućavaju zaradu usmeravanjem prometa ka oglasima i traffic referral programima. Microsoft kaže da na Firefoxu Adrozek takođe sadrži sekundarnu funkciju koja izvlači akreditive iz browsera i otprema podatke na servere napadača.
Prema Microsoftu, 159 domena koji su ugošćavali instalatore Adrozek-a od maja 2020 i hostovala je u proseku 17.300 dinamički generisanih URL-ova, a svaka URL adresa više od 15.300 dinamički generisanih instalatora Adrozek-a. Krajnjim korisnicima koji ovu pretnju pronađu na svojim uređajima savetuje se da ponovo instaliraju svoje browsere.
Izvor: Zdnet