MediaNowości

Trwające ataki złośliwego oprogramowania atakują użytkowników 4 głównych przeglądarek

Zamknij pasek adresu w przeglądarce internetowej

Trwająca kampania złośliwego oprogramowania wysadza w Internet złośliwe oprogramowanie, które niweczy bezpieczeństwo przeglądarek internetowych, dodaje złośliwe rozszerzenia przeglądarki i wprowadza inne zmiany na komputerach użytkowników, powiedział Microsoft w czwartek.

Adrozek, jak nazwał rodzinę szkodliwego oprogramowania, twórca oprogramowania, opiera się na rozległej sieci dystrybucji obejmującej 159 unikalnych domen, z których każda zawiera średnio 17 300 unikalnych adresów URL. Z kolei adresy URL zawierają średnio 15 300 unikalnych próbek złośliwego oprogramowania. Kampania rozpoczęła się nie później niż w maju i osiągnęła szczyt w sierpniu, kiedy szkodliwe oprogramowanie było obserwowane na 30 000 urządzeń dziennie.

Nie oszustwo związane z partnerem twojego ojca

Atak działa na przeglądarki Chrome, Firefox, Edge i Yandex i nadal trwa. Ostatecznym celem jest na razie umieszczenie reklam w wynikach wyszukiwania, aby osoby atakujące mogły pobierać opłaty od podmiotów stowarzyszonych. Chociaż tego typu kampanie są powszechne i stanowią mniejsze zagrożenie niż wiele typów złośliwego oprogramowania, Adrozek wyróżnia się złośliwymi modyfikacjami ustawień bezpieczeństwa i innymi złośliwymi działaniami, które wykonuje.

„Cyberprzestępcy nadużywający programów stowarzyszonych nie jest niczym nowym – modyfikatory przeglądarki to jedne z najstarszych typów zagrożeń” – napisali w poście naukowcy z zespołu Microsoft 365 Defender Research Team. „Jednak fakt, że ta kampania wykorzystuje fragment złośliwego oprogramowania, który wpływa na wiele przeglądarek, wskazuje na to, że ten typ zagrożenia jest nadal coraz bardziej wyrafinowany. Ponadto złośliwe oprogramowanie zachowuje trwałość i wydobywa dane uwierzytelniające witryny, narażając urządzenia, których dotyczy problem, na dodatkowe ryzyko ”.

W poście napisano, że Adrozek jest instalowany „poprzez pobranie”. Nazwy plików instalatora mają format setup __. Exe. Upuszczają plik w folderze tymczasowym systemu Windows, a ten plik z kolei upuszcza główny ładunek w katalogu plików programu. Ten ładunek wykorzystuje nazwę pliku, która sprawia, że ​​złośliwe oprogramowanie wydaje się być legalnym oprogramowaniem związanym z dźwiękiem, o nazwach takich jak Audiolava.exe, QuickAudio.exe i Converter.exe. Złośliwe oprogramowanie jest instalowane w taki sam sposób, w jaki jest legalne oprogramowanie i można uzyskać do niego dostęp poprzez Ustawienia> Aplikacje i funkcje i jest zarejestrowane jako usługa systemu Windows o tej samej nazwie pliku.

Po zainstalowaniu Adrozek dokonuje kilku zmian w przeglądarce i systemie, na którym działa. Na przykład w przeglądarce Chrome złośliwe oprogramowanie często wprowadza zmiany w usłudze Chrome Media Router. Celem jest zainstalowanie rozszerzeń podszywających się pod legalne za pomocą identyfikatorów, takich jak „Radioplayer”.

Złe rozszerzenia!

Rozszerzenia łączą się z serwerem atakującego, aby pobrać dodatkowy kod, który wstrzykuje reklamy do wyników wyszukiwania. Rozszerzenia wysyłają również atakującym informacje o zainfekowanym komputerze, a w przeglądarce Firefox próbuje również wykraść dane uwierzytelniające. Złośliwe oprogramowanie manipuluje niektórymi plikami DLL. Na przykład w Edge szkodliwe oprogramowanie modyfikuje plik MsEdge.dll, tak aby wyłączał kontrolę bezpieczeństwa, która pomaga wykrywać nieautoryzowane zmiany w pliku Secure Preferences.

Ta technika, podobnie jak w przypadku innych przeglądarek, których dotyczy problem, ma potencjalnie poważne konsekwencje. Między innymi plik preferencji sprawdza integralność wartości różnych plików i ustawień. Anulując tę ​​kontrolę, Adrozek otwiera przeglądarki na inne ataki. Złośliwe oprogramowanie dodaje również nowe uprawnienia do pliku.

Poniżej zrzut ekranu pokazujący te dodane do Edge:

Microsoft

Następnie złośliwe oprogramowanie wprowadza zmiany w ustawieniach systemu, aby zapewnić jego działanie przy każdym ponownym uruchomieniu przeglądarki lub ponownym uruchomieniu komputera. Od tego momentu Adrozek będzie wprowadzał reklamy, które towarzyszą reklamom wyświetlanym przez wyszukiwarkę lub są umieszczane na nich.

Czwartkowy post nie mówi wyraźnie, jakie interakcje użytkownika są wymagane do wystąpienia infekcji, jeśli w ogóle. Nie jest również jasne, jaki efekt mają zabezpieczenia, takie jak kontrola konta użytkownika. Przedstawiciele Microsoftu nie odpowiedzieli na e-mail z pytaniem o szczegóły.

Kampania wykorzystuje technikę zwaną polimorfizmem, aby wysadzić setki tysięcy unikalnych próbek. To sprawia, że ​​ochrona antywirusowa oparta na sygnaturach jest nieskuteczna. Wiele ofert antywirusowych – w tym Microsoft Defender – ma oparte na zachowaniu, oparte na uczeniu maszynowym metody wykrywania, które są skuteczniejsze w walce z takim złośliwym oprogramowaniem.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook