12月10日，微軟發(fā)布了Adrozek 惡意軟件的分析報(bào)告，該惡意軟件可以感染用戶設(shè)備，然后xiu給瀏覽器和瀏覽器設(shè)置，以注入廣告到搜索結(jié)果頁(yè)面中。

Adrozek 惡意軟件自2020年5月開(kāi)始活躍，在8月達(dá)到峰值，每天控制超過(guò)3萬(wàn)個(gè)瀏覽器。微軟報(bào)告顯示受感染的用戶數(shù)更多。微軟稱，2020年 5月-9月，全球檢測(cè)到的Adrozek檢測(cè)量就超過(guò)10萬(wàn)。受害者主要位于歐洲、南亞和東南亞。

Adrozek受害者分布

ADROZEK工作原理和分布

當(dāng)前，惡意軟件主要是通過(guò)經(jīng)典的drive-by下載方案。用戶會(huì)從合法網(wǎng)站重定向到誘使安裝惡意軟件的域名。陷阱軟件會(huì)安裝Androzek惡意軟件，然后在注冊(cè)表的幫助下實(shí)現(xiàn)重啟后的駐留。

一旦完成駐留，惡意軟件就會(huì)尋找本地安裝的瀏覽器，比如微軟Edge、谷歌Chrome、Mozilla Firefox或Yandex 瀏覽器。如果在受感染的機(jī)器上發(fā)現(xiàn)了以上任意一款瀏覽器，惡意軟件就會(huì)通過(guò)修改瀏覽器的AppData 文件夾來(lái)強(qiáng)制安裝一個(gè)擴(kuò)展。

為了確保瀏覽器的安全特征不會(huì)起作用和檢測(cè)這些未授權(quán)的修改，Adrozek 會(huì)修改瀏覽器的一些DLL文件來(lái)修改瀏覽器的設(shè)置和禁用安全特征。

Adrozek做的修改包括：

· 禁用瀏覽器更新;

· 禁用文件完整性檢查;

· 禁用安全瀏覽特征;

· 注冊(cè)和激活上一步添加的擴(kuò)展;

· 允許惡意擴(kuò)展在隱身模式下運(yùn)行;

· 允許擴(kuò)展來(lái)沒(méi)有獲得適當(dāng)權(quán)限的情況下運(yùn)行;

· 從工具欄隱藏?cái)U(kuò)展;

· 修改瀏覽器的默認(rèn)主頁(yè);

· 修改瀏覽器的默認(rèn)搜索引擎。

以上操作的目的是允許Adrozek將廣告注入到搜索結(jié)果頁(yè)面中，惡意軟件可以通過(guò)廣告的流量來(lái)獲利。

Adrozek搜索結(jié)果比較

微軟稱在Firefox上，Adrozek還有一個(gè)可以從瀏覽器竊取憑證和上傳數(shù)據(jù)到攻擊者服務(wù)器的特征。

Adrozek活動(dòng)預(yù)測(cè)

Microsoft 稱Adrozek攻擊活動(dòng)是非常復(fù)雜的，尤其是分發(fā)基礎(chǔ)設(shè)施。研究人員追蹤了2020年5月開(kāi)始Adrozek安裝包存放的159個(gè)域名發(fā)現(xiàn)，每個(gè)域名平均保存17300個(gè)動(dòng)態(tài)生成的URL，每個(gè)URL有超過(guò)15300個(gè)動(dòng)態(tài)生成的Adrozek 安裝器。大規(guī)?；A(chǔ)設(shè)施也反映了攻擊者保持攻擊活動(dòng)運(yùn)行的決心。分發(fā)基礎(chǔ)設(shè)施也是動(dòng)態(tài)的，其中一些域名活動(dòng)時(shí)間只有1天，其他的一些域名活動(dòng)時(shí)間長(zhǎng)達(dá)120天。

根據(jù)惡意軟件payload和分發(fā)基礎(chǔ)設(shè)施，研究人員預(yù)測(cè)Adrozek攻擊活動(dòng)會(huì)在未來(lái)幾個(gè)月繼續(xù)增長(zhǎng)。研究人員建議受感染的用戶重新安裝其瀏覽器。

更多細(xì)節(jié)參見(jiàn)：https://www.microsoft.com/security/blog/2020/12/10/widespread-malware-campaign-seeks-to-silently-inject-ads-into-search-results-affects-multiple-browsers/

本文翻譯自：https://www.zdnet.com/article/microsoft-exposes-adrozek-malware-that-hijacks-chrome-edge-and-firefox/如若轉(zhuǎn)載，請(qǐng)注明原文地址。