12月10日,微软发布了一份关于Adrozek恶意软件的分析报告,该恶意软件可以感染用户设备,然后修改浏览器和浏览器设置,向搜索结果页面注入广告。Adrozek恶意软件自2020年5月开始活跃,并于8月达到顶峰,每天控制超过30,000个浏览器。微软报告称,受感染用户的数量甚至更高。据微软称,从2020年5月到2020年9月,全球共检测到超过10万次Adrozek检测。受害者主要分布在欧洲、南亚和东南亚。Adrozek受害者分布ADROZEK的工作原理和分布目前,恶意软件主要通过经典的偷渡式方案下载。用户被从合法网站重定向到被引诱安装恶意软件的域。trapware安装Androzek恶意软件,然后在注册表的帮助下重新启动后仍然存在。一旦解决,恶意软件就会寻找本地安装的浏览器,例如MicrosoftEdge、GoogleChrome、MozillaFirefox或Yandex浏览器。如果在受感染的机器上发现这些浏览器中的任何一个,恶意软件将通过修改浏览器的AppData文件夹强制安装扩展。为了确保浏览器的安全功能不起作用并检测这些未经授权的修改,Adrozek修改了浏览器的某些DLL文件以修改浏览器的设置并禁用安全功能。Adrozek所做的修改包括:禁用浏览器更新;禁用文件完整性检查;禁用安全浏览功能;注册并激活上一步添加的扩展;允许恶意扩展以隐身模式运行;以适当的权限运行;·从工具栏中隐藏扩展;·修改浏览器默认主页;·修改浏览器的默认搜索引擎。上述操作的目的是让Adrozek在搜索结果页面中注入广告,恶意软件可以从广告流量中获利。Adrozek搜索结果对比微软表示,在Firefox上,Adrozek还有一项功能,可以窃取浏览器的凭据并将数据上传到攻击者的服务器。Adrozek活动预测微软表示Adrozek攻击活动非常复杂,尤其是分发基础设施。研究人员追踪了2020年5月以来存储在Adrozek安装包中的159个域名,发现每个域名平均存储了17300个动态生成的URL,每个URL都有超过15300个动态生成的Adrozek安装程序。大规模的基础设施也反映了攻击者保持活动运行的决心。分发基础设施也是动态的,一些域仅活跃1天,而其他域则长达120天。基于恶意软件有效载荷和分发基础设施,研究人员预测Adrozek活动将在未来几个月继续增长。研究人员建议受感染的用户重新安装浏览器。更多详细信息:https://www.microsoft.com/security/blog/2020/12/10/widespread-malware-campaign-seeks-to-silently-inject-ads-into-search-results-affects-multiple-browsers/本文翻译自:https://www.zdnet.com/article/microsoft-exposes-adrozek-malware-that-hijacks-chrome-edge-and-firefox/如有转载请注明原文地址。
