Microsoft насочи вниманието ни към нов малуер, който инфектира устройствата на потребителите и след това модифицира браузърите и техните настройки. Целта е да се инжектират реклами в резултатите от търсения на потребителите.
Името на гадината е Adrozek и тя е активна поне от май, 2020 година
Стига до своя пик през август, когато контролира над 30 хиляди браузъра на дневна база. В докладът си, Microsoft 365 Defender екипът за изследвания посочва, че най-вероятно броят е много, много по-голям. Между май и септември са наблюдавали стотици хиляди прояви на Adrozek по целия свят.
Според вътрешната телеметрия, най-висока концентрация на жертвите има в Европа, която е следвана от Южна и Югоизточна Азия.
Основният механизъм за разпространение е пренасочването на потребителите от легитимни сайтове към съмнителни домейни. Там потребителят е подведен да инсталира зловреден софтуер. При инсталацията му се появява и малуерът, който посредством ключ в регистрите се сдобива с възможност да функционира и след рестарт на системата. Следващата стъпка е откриването на браузърите на машината – най-вече Edge, Chrome и Firefox.
След идентифицирането му, Adrozek се опитва да инсталира разширение чрез модифициране на AppData папката на съответния браузър
За да се подсигури, че браузърът няма да открие проблем се правят модификации на някои от неговите DLL файлове – отговарящи за някои настройки и механизми за защита.
Списъкът с модификациите включва
- Изключване на ъпдейтите на браузъра
- Изключване на проверките за цялост и достоверност на файловете на браузъра
- Изключване на опцията за безопасно сърфиране в Интернет
- Регистриране и активация на вече инсталираното разширение
- Позволяване на работа в инкогнито режим на разширението
- Позволяване на работата на разширението без придобиване на нужните разрешения
- Скриване на разширението от лентата с инструменти
- Промяна на началната страница на браузъра
- Промяна на търсачката по подразбиране на браузъра
И така вече Adrozek може да променя резултатите при търсене, показвайки реклами, които носят приходи на създателите му.
От Microsoft забелязват, че при Firefox има и втора линия на действие. При нея се изтегля информацията за влизане в различни сайтове и тя се качва на сървърите на хакерите.
Става ясно, че успехът на малуерът се дължи на много изпипаната инфраструктура за разпространение
Открити са 159 домейна, които съдържат инсталатори с Adrozek. Всеки от тях има на себе си средно 17 300 динамично генерирани адреси. Всеки адрес от своя страна съдържа над 15 300 динамично генерирани инсталатори.
Самата инфраструктура се настройва също динамично. Някои от домейните се използват само един ден, други стоят активни до 120 дни.
Използването на полиморфия за постоянна ротация на носителите на заразата и местата, от които се разпространяват те, сочи, че мащабът на Adrozek ще се увеличи значително в идните месеци.
От Microsoft съветват да преинсталираме браузъра си, ако забележим, че сме станали жертва.