Adrozek é o mais recente malware descoberto pela Microsoft. A Microsoft alertou sobre uma nova campanha disseminando um novo malware de browser hijack e roubo de credenciais apelidado de Adrozek.
Segundo a Microsoft, no seu pico de infeção, este malware seria capaz de comprometer mais de 30.000 dispositivos num só dia.
O modus operandi deste malware passa por injetar anúncios nas páginas de pesquisa do motor de pesquisa, p.ex., Google Chrome, Microsoft Edge, Yandex e Mozilla Firefox.
O malware usa scripts maliciosos descarregados dos servidores controlados pelos criminosos para injetar anúncios depois de alterar as configurações e componentes do navegador web da vítima.
“End users who find this threat on their devices are advised to re-install their browsers,” the Microsoft 365 Defender Research Team said.
“If not detected and blocked, Adrozek adds browser extensions, modifies a specific DLL per target browser, and changes browser settings to insert additional, unauthorized ads into web pages, often on top of legitimate ads from search engines.”
Embora a Microsoft ainda não tenha encontrado evidências de o Adrozek estar a ser utilizado como veículo para enviar outro tipo de malware para os computadores infetados por meio dos anúncios injetados, isso pode acontecer a qualquer momento.
Os invasores podem facilmente passar a infetar as suas vítimas com cargas maliciosas adicionais ou vender o acesso para entrega de malware a outros grupos de criminosos.
“The Adrozek attackers, however, operate the way other browser modifiers do, which is to earn through affiliate ad programs, which pay for referral traffic to certain websites,” Microsoft added.
“The intended effect is for users, searching for certain keywords, to inadvertently click on these malware-inserted ads, which lead to affiliated pages.
“The attackers earn through affiliate advertising programs, which pay by the amount of traffic referred to sponsored affiliated pages.”
No total, esta campanha usou 159 domínios para hospedar “uma média de 17.300 URLs exclusivos” que entregaram mais de 15.300 amostras de malware polimórfico a dispositivos comprometidos, levando a centenas de milhares de amostras implantadas em dispositivos infetados desde maio a setembro de 2020.
Esta campanha maliciosa está ativa e a disseminar-se para novos computadores a cada dia, a infraestrutura da Adrozek ainda está a expandindo e a adicionar novos domínios de host usados para injetar cargas de malware novas e exclusivas.
“The distribution infrastructure is also very dynamic. Some of the domains were up for just one day, while others were active for longer, up to 120 days,” Microsoft said.
“Interestingly, we saw some of the domains distributing clean files like Process Explorer, likely an attempt by the attackers to improve the reputation of their domains and URLs, and evade network-based protections.“
Entre maio e setembro de 2020, os atacantes por trás do Adrozek infetaram as vítimas por meio de downloads drive-by que usaram 159 domínios para enviar centenas de milhares de amostras.
Por ser um tipo de malware polimórfico, o Adrozek também evita a sua detecção e também torna mais fácil para os seus operadores implantar grandes volumes de novas amostras na sua infraestrutura de entrega.
“While many of the domains hosted tens of thousands of URLs, a few had more than 100,000 unique URLs, with one hosting almost 250,000,” Microsoft added.
“This massive infrastructure reflects how determined the attackers are to keep this campaign operational.”
As vítimas recebem um executável mal-intencionado e ofuscado que é guardado na pasta %temp% do computador, um binário que mais tarde descarrega e instala a carga útil principal camuflada como um software de áudio legítimo.
Fluxo de ataque descrito pela Microsoft:
After being installed on the device, Adrozek will start adding the malicious scripts it uses to inject ads to several extensions targeted for each of the browsers it hijacks.
The malware will turn off security controls on Microsoft Edge and other Chromium-based web browsers, turns off safe browsing, and enables the hijacked extensions in incognito mode.
It will also disable automatic browser updates on infected computers to make sure that the hijacked browser components are not restored to a clean version.
Adrozek gains persistence by adding registry entries and creating a new Windows Service named “Main Service” to have the main malware payload launched automatically on system startup.
On systems where Mozilla Firefox is installed, Adrozek will also steal encrypted user credentials from the victims’ Firefox profile, credentials that it will later decrypt send to its operators.
“With this additional function, Adrozek sets itself apart from other browser modifiers and demonstrates that there’s no such thing as low-priority or non-urgent threats,” Microsoft concluded.
“And while the malware’s main goal is to inject ads and refer traffic to certain websites, the attack chain involves sophisticated behavior that allow attackers to gain a strong foothold on a device.”
Mais detalhes sobre este malware aqui: https://www.microsoft.com/security/blog/2020/12/10/widespread-malware-campaign-seeks-to-silently-inject-ads-into-search-results-affects-multiple-browsers/
One Reply to “Adrozek pode infetar 30.000 dispositivos num só dia”