微软周四表示,正在进行的恶意软件活动正在通过恶意软件轰炸互联网,这些恶意软件无法控制Web浏览器的安全性,添加恶意浏览器扩展以及对用户计算机进行其他更改。
作为软件制造商的恶意软件家族,Adrozek依靠庞大的分销网络,该网络包括159个唯一域,每个域平均托管17,300个唯一URL。这些网址反过来平均会承载15300个唯一的恶意软件样本。该活动最迟于5月开始,并在8月达到顶峰,当时每天在30,000台设备上观察到该恶意软件。
该攻击对Chrome,Firefox,Edge和Yandex浏览器有效,并且仍在继续。现在的最终目标是将广告注入搜索结果中,以便攻击者可以从关联企业处收取费用。尽管这些类型的活动很常见,并且比许多类型的恶意软件所构成的威胁要少,但Adrozek脱颖而出是因为它对安全设置和执行的其他恶意操作进行了恶意修改。
Microsoft 365 Defender研究小组的研究人员在博客文章中写道:“滥用联盟计划的网络犯罪分子并不新鲜-浏览器修饰符是最古老的威胁类型。” “但是,该活动利用了一种会影响多个浏览器的恶意软件这一事实表明,这种威胁类型如何继续变得越来越复杂。此外,该恶意软件会保持持久性并泄露网站凭据,从而使受影响的设备面临其他风险。”
该帖子说,Adrozek是“通过直接下载下载”安装的。安装程序文件名使用setup __。exe的格式。他们将文件拖放到Windows临时文件夹中,然后该文件又将主要有效内容删除到程序文件目录中。该有效负载使用的文件名使该恶意软件看起来像是与音频有关的合法软件,其名称为Audiolava.exe,QuickAudio.exe和converter.exe。该恶意软件是以合法软件的方式安装的,并且可以通过Settings> Apps&功能,并注册为具有相同文件名的Windows服务。
安装后,Adrozek会对浏览器及其运行系统进行几处更改。例如,在Chrome上,恶意软件通常会更改Chrome Media Router服务。目的是通过使用“ Radioplayer”之类的ID安装伪装成合法扩展的扩展。
这些扩展程序连接到攻击者的服务器,以获取其他代码,这些代码会将广告注入搜索结果。该扩展程序还向攻击者发送有关受感染计算机的信息,并且在Firefox上,它还尝试窃取凭据。该恶意软件继续篡改某些DLL文件。例如,在Edge上,恶意软件会修改MsEdge.dll,以便关闭有助于检测对Secure Preferences文件的未经授权更改的安全控制。
此技术以及与其他受影响的浏览器类似的技术可能会带来严重的后果。其中,首选项文件检查各种文件和设置的值的完整性。通过取消此检查,Adrozek可以打开浏览器以进行其他攻击。该恶意软件还向文件添加了新权限。
然后,该恶意软件会更改系统设置,以确保其在每次重新启动浏览器或重新启动计算机时都运行。从那时起,Adrozek将注入与搜索引擎投放的广告一起投放或置于其上方的广告。
在星期四的帖子中没有明确说明发生感染所需的用户交互(如果有的话)。还不清楚诸如用户帐户控制之类的防御措施有什么作用。 Microsoft代表未回复要求提供详细信息的电子邮件。
该活动使用一种称为“多态性”的技术来爆炸数十万个独特样本。这使得基于签名的防病毒保护无效。许多视音频产品(包括Microsoft Defender)都具有基于行为的,基于机器学习的检测功能,可以更有效地抵御此类恶意软件。