站長之傢瞭解到,這款惡意軟件命名為Adrozek,至少從2020年5月就開始活躍,並在今年8月達到峰值,當時每天控制著3萬多個用戶的瀏覽器。

image.png

在今天的一份報告中,微軟安全研究小組認為,遭感染的用戶數量實際上要多得多。在2020年5月至9月期間,他們在全球檢測到Adrozek安裝達“數十萬”。其中,受害者最集中的地方似乎是歐洲,其次是南亞和東南亞。

具體來說,自2020年5月以來,微軟跟蹤瞭159個托管Adrozek安裝程序的域名。每個域名平均托管17300個動態生成的URL,每個URL托管超過15300個動態生成的Adrozek安裝程序。

微軟表示,目前該惡意軟件是通過經典的“釣魚”方式傳播的。黑客將用戶從合法網站重定向到可疑域名,並誘騙他們安裝惡意軟件。

一旦在電腦安裝之後,該惡意軟件將自動識別到本地安裝的瀏覽器,包括微軟 Edge、谷歌Chrome、Mozilla Firefox以及Yandex瀏覽器瀏覽器。

如果在受感染的主機上發現上述這些瀏覽器,惡意軟件將試圖通過修改瀏覽器的應用程序數據文件夾來強制安裝擴展。

更狡猾的是,為瞭確保瀏覽器的安全功能不會啟動並檢測到異常,Adrozek還修改瞭一些瀏覽器的DLL文件來改變瀏覽器的設置並禁用安全功能。

secure-preferences-permission-change.png

Adrozek偷偷篡改的功能包括:

  • 禁用瀏覽器更新

  • 禁用文件完整性檢查

  • 禁用安全瀏覽功能

  • 註冊並激活他們在上一步中添加的擴展

  • 允許惡意擴展在隱身模式下運行

  • 允許在沒有獲得適當權限的情況下運行擴展

  • 工具欄中隱藏擴展

  • 修改瀏覽器的默認主頁

  • 修改瀏覽器的默認搜索引擎

所有這些小動作最終目的很簡單,都是為瞭讓Adrozek在搜索結果頁面中插入廣告,惡意軟件團夥通過將流量導向廣告和流量推薦程序,從而獲得收入。

更糟糕的是,在Firefox上,Adrozek還包含一個輔助功能,可以從瀏覽器中提取密碼等憑據,並將數據上傳到攻擊者的服務器上。

微軟給出解決這個問題的方法建議是,終端用戶如果在他們的設備上發現存在這種威脅,那麼就重新安裝瀏覽器。至於能不能徹解決問題,官方並未作出具體解釋。

Source: m.cnbeta.com