Microsoft предупредила о появлении новой малвари Adrozek, которая заражает устройства пользователей и изменяет настройки их браузеров, чтобы размещать рекламу в результатах поиска.
По данным компании, вредоносная программа активна как минимум с мая текущего года и достигла своего пика в августе, когда ежедневно контролировала более 30 000 зараженных браузеров. Однако аналитики считают, что реальное количество зараженных пользователей намного выше, ведь в период с мая по сентябрь 2020 года эксперты фиксировали «сотни тысяч» обнаружений Adrozek по всему миру.
Судя по всему, больше всего пострадавших от новой угрозы находится в Европе, за которой следуют Южная и Юго-Восточная Азия.
В настоящее время малварь распространяется при помощи классических drive-by атак. То есть пользователей перенаправляются с легитимных сайтов на домены злоумышленников, где их обманом вынуждают установить вредоносное ПО, которое затем обеспечивает себе постоянное присутствие в системе, прописываясь в реестр.
Проникнув в систему, Adrozek будет искать локально установленные браузеры, включая Microsoft Edge, Google Chrome, Mozilla Firefox и Яндекс.Браузер. Если цель обнаружена, малварь пытается принудительно установить свое расширение, изменив папку AppData. Чтобы гарантировать, что защита браузера не сработает и не обнаружит несанкционированные модификации, Adrozek также изменяет некоторые DLL-файлы браузера, настройки и отключает защитные механизмы. Так, малварь вносит следующие изменения:
- отключает обновления браузера;
- отключает проверки целостности файлов;
- отключает функции безопасного просмотра;
- регистрирует и активирует расширение, добавленного на предыдущем шаге;
- позволяет вредоносному расширению работать в режиме инкогнито;
- позволяет запуск расширения без получения соответствующих прав;
- скрывает расширение с панели инструментов;
- изменяет домашнюю страницу браузера по умолчанию;
- изменяет поисковую систему по умолчанию.
Все это делается ради того, чтобы Adrozek мог размещать рекламу на страницах результатов поиска. За счет этой рекламы операторы малвари получают доход, направляя трафик на рекламные сайты или реферальные программы.
Хуже того, в случае с Firefox вредонос также извлекает учетные данные из браузера и отправляет их на сервер злоумышленников.
Microsoft пишет, что операции Adrozek чрезвычайно сложны, особенно если говорит об инфраструктуре распространения. С мая 2020 года компания отслеживает 159 доменов, на которых размещались установщики Adrozek. На каждом из доменов размещалось в среднем 17 300 динамически сгенерированных URL-адресов, а на каждом URL-адресе размещалось более 15 300 динамически сгенерированных установщиков Adrozek.
«Хотя многие из доменов содержали десятки тысяч URL-адресов, некоторые имели более 100 000 уникальных URL-адресов, а на одном мы обнаружили почти 250 000 URL-адресов. Эта огромная инфраструктура отражает решимость злоумышленников поддерживать эту кампанию в рабочем состоянии. Некоторые из этих доменов работали всего один день, а другие были активны куда дольше (до 120 дней)», — пишут эксперты и добавляют, что в ближайшие месяцы масштаб операций Adrozek, скорее всего, еще возрастет.
