Закройте адресную строку в интернет-браузере

Яндекс

В четверг Microsoft заявила, что продолжающаяся кампания по вредоносному ПО наводняет Интернет вредоносным ПО, которое нейтрализует безопасность веб-браузеров, добавляет вредоносные расширения для браузеров и вносит другие изменения в компьютеры пользователей.

Adrozek, как производитель программного обеспечения назвал семейство вредоносных программ, полагается на разветвленную сеть распространения, состоящую из 159 уникальных доменов, каждый из которых содержит в среднем 17 300 уникальных URL-адресов. URL-адреса, в свою очередь, содержат в среднем 15 300 уникальных образцов вредоносного ПО. Кампания началась не позднее мая и достигла пика в августе, когда вредоносное ПО обнаруживалось на 30 000 устройств в день.

Не афилированное мошенничество вашего отца

Атака работает против браузеров Chrome, Firefox, Edge и Яндекс и продолжается. Конечная цель на данный момент — добавить рекламу в результаты поиска, чтобы злоумышленники могли взимать плату с аффилированных лиц. Хотя эти типы кампаний распространены и представляют меньшую угрозу, чем многие типы вредоносных программ, Adrozek выделяется из-за вредоносных модификаций, которые он вносит в настройки безопасности, и других вредоносных действий, которые он выполняет.

«Киберпреступники, злоупотребляющие партнерскими программами, не новость — модификаторы браузера — одни из самых старых типов угроз», — написали исследователи из исследовательской группы Microsoft 365 Defender Research Сообщение блога. «Однако тот факт, что в этой кампании используется вредоносное ПО, которое поражает несколько браузеров, свидетельствует о том, что этот тип угроз продолжает становиться все более изощренным. Кроме того, вредоносная программа сохраняет постоянство и извлекает учетные данные веб-сайтов, подвергая затронутые устройства дополнительным рискам ».

Читайте также:
Apple TV + присоединяется к ACE - «ведущей силе борьбы с пиратством»

В сообщении говорилось, что Adrozek устанавливается «через попутную загрузку». Имена файлов установщика используют формат setup __. Exe. Злоумышленники помещают файл во временную папку Windows, и этот файл, в свою очередь, удаляет основную полезную нагрузку в каталоге файлов программы. Эта полезная нагрузка использует имя файла, по которому вредоносная программа выглядит как законное программное обеспечение, связанное со звуком, с такими именами, как Audiolava.exe, QuickAudio.exe и converter.exe. Вредоносная программа устанавливается так же, как и легитимное программное обеспечение, и к ней можно получить доступ через «Настройки»> «Приложения и функции», и она регистрируется как служба Windows с тем же именем файла.

На рисунке ниже показана цепочка атак Adrozek:

Adrozek attack chain

После установки Adrozek вносит несколько изменений в браузер и систему, в которой он работает. Например, в Chrome вредоносная программа часто вносит изменения в Chrome Media Router оказание услуг. Цель состоит в том, чтобы установить расширения, которые маскируются под законные, используя такие идентификаторы, как «Radioplayer».

Плохие расширения!

Расширения подключаются к серверу злоумышленника для получения дополнительного кода, который внедряет рекламу в результаты поиска. Расширения также отправляют злоумышленникам информацию о зараженном компьютере, а в Firefox они также пытаются украсть учетные данные. Вредоносная программа продолжает вмешиваться в определенные файлы DLL. В Edge, например, вредоносная программа модифицирует MsEdge.dll, чтобы отключить элементы управления безопасностью, которые помогают обнаруживать несанкционированные изменения в файле настроек безопасности.

Читайте также:
Beats, Ideapad 3, AirPods Pro!

Этот метод и аналогичные методы для других затронутых браузеров имеют потенциально серьезные последствия. Помимо прочего, Файл настроек проверяет целостность значений различных файлов и настроек. Обнуляя эту проверку, Adrozek открывает браузеры для других атак. Вредоносная программа также добавляет новые права доступа к файлу.

Ниже приведен снимок экрана, на котором показаны те, которые были добавлены в Edge:

Secure preferences permission change

Microsoft

Затем вредоносная программа вносит изменения в настройки системы, чтобы обеспечить ее запуск при каждом перезапуске браузера или компьютера. С этого момента Adrozek будет вставлять рекламу, которая либо сопровождает рекламу, обслуживаемую поисковой системой, либо размещается поверх нее.

В сообщении, опубликованном в четверг, прямо не говорится, какое взаимодействие с пользователем требуется для заражения. Также не ясно, какой эффект нравится защите Контроль учетных записей пользователей иметь. Microsoft не упоминает об атаке на браузеры под управлением macOS или Linux, поэтому, вероятно, эта кампания затронет только пользователей Windows. Представители Microsoft не ответили на электронное письмо с просьбой сообщить подробности.

В кампании используется метод, называемый полиморфизмом, для извлечения сотен тысяч уникальных образцов. Это делает неэффективной сигнатурную антивирусную защиту. Многие антивирусные решения, в том числе Microsoft Defender, содержат обнаружение на основе поведения и машинного обучения, которое более эффективно против таких вредоносных программ.