Microsoft предупредила о появлении новой малвари Adrozek, которая заражает устройства пользователей и изменяет настройки их браузеров, чтобы размещать рекламу в результатах поиска.
Схема работы AdrozekПо данным компании, вредоносная программа активна как минимум с мая текущего года и достигла своего пика в августе, когда ежедневно контролировала более 30 000 зараженных браузеров. Однако аналитики считают, что реальное количество зараженных пользователей намного выше, ведь в период с мая по сентябрь 2020 года эксперты фиксировали «сотни тысяч» обнаружений Adrozek по всему миру.
Судя по всему, больше всего пострадавших от новой угрозы находится в Европе, за которой следуют Южная и Юго-Восточная Азия.
В настоящее время малварь распространяется при помощи классических drive-by атак. То есть пользователей перенаправляются с легитимных сайтов на домены злоумышленников, где их обманом вынуждают установить вредоносное ПО, которое затем обеспечивает себе постоянное присутствие в системе, прописываясь в реестр.
Проникнув в систему, Adrozek будет искать локально установленные браузеры, включая Microsoft Edge, Google Chrome, Mozilla Firefox и Яндекс.Браузер. Есть цель обнаружена, малварь пытается принудительно установить свое расширение, изменив папку AppData. Чтобы гарантировать, что защита браузера не сработает и не обнаружит несанкционированные модификации, Adrozek также изменяет некоторые DLL-файлы браузера, настройки и отключает защитные механизмы. Так, малварь вносит следующие изменения:
Microsoft пишет, что операции Adrozek чрезвычайно сложны, особенно если говорит об инфраструктуре распространения. С мая 2020 года компания отслеживает 159 доменов, на которых размещались установщики Adrozek. На каждом из доменов размещалось в среднем 17 300 динамически сгенерированных URL-адресов, а на каждом URL-адресе размещалось более 15 300 динамически сгенерированных установщиков Adrozek.
Источник: xakep.ru/2020/12/11/adrozek/
Схема работы Adrozek
Судя по всему, больше всего пострадавших от новой угрозы находится в Европе, за которой следуют Южная и Юго-Восточная Азия.
В настоящее время малварь распространяется при помощи классических drive-by атак. То есть пользователей перенаправляются с легитимных сайтов на домены злоумышленников, где их обманом вынуждают установить вредоносное ПО, которое затем обеспечивает себе постоянное присутствие в системе, прописываясь в реестр.
Проникнув в систему, Adrozek будет искать локально установленные браузеры, включая Microsoft Edge, Google Chrome, Mozilla Firefox и Яндекс.Браузер. Есть цель обнаружена, малварь пытается принудительно установить свое расширение, изменив папку AppData. Чтобы гарантировать, что защита браузера не сработает и не обнаружит несанкционированные модификации, Adrozek также изменяет некоторые DLL-файлы браузера, настройки и отключает защитные механизмы. Так, малварь вносит следующие изменения:
- отключает обновления браузера;
- отключает проверки целостности файлов;
- отключает функции безопасного просмотра;
- регистрирует и активирует расширение, добавленного на предыдущем шаге;
- позволяет вредоносному расширению работать в режиме инкогнито;
- позволяет запуск расширения без получения соответствующих прав;
- скрывает расширение с панели инструментов;
- изменяет домашнюю страницу браузера по умолчанию;
- изменяет поисковую систему по умолчанию.
Результаты поиска до и после заражения
Хуже того, в случае с Firefox вредонос также извлекает учетные данные из браузера и отправляет их на сервер злоумышленников.Microsoft пишет, что операции Adrozek чрезвычайно сложны, особенно если говорит об инфраструктуре распространения. С мая 2020 года компания отслеживает 159 доменов, на которых размещались установщики Adrozek. На каждом из доменов размещалось в среднем 17 300 динамически сгенерированных URL-адресов, а на каждом URL-адресе размещалось более 15 300 динамически сгенерированных установщиков Adrozek.
Источник: xakep.ru/2020/12/11/adrozek/
