Microsoft avverte della campagna di malware che infetta Chrome, Edge e Firefox

Microsoft giovedì avvertito in un post sul blog su una nuova campagna di malware progettata per inserire silenziosamente annunci nei risultati di ricerca, che interessano più browser, tra cui Microsoft Edge, Google Chrome, Yandex Browser e Mozilla Firefox.

Secondo Microsoft, una campagna di malware persistente ha distribuito attivamente un malware modificatore del browser evoluto su larga scala almeno da maggio 2020. Nell’agosto 2020, la minaccia ha raggiunto il picco, quando più di 30.000 dispositivi sono stati infettati dal malware tutti i giorni.

“Chiamiamo questa famiglia di modificatori del browser Adrozek. Se non viene rilevato e bloccato, Adrozek aggiunge estensioni del browser, modifica una DLL specifica per browser di destinazione e modifica le impostazioni del browser per inserire ulteriori annunci non autorizzati sulle pagine Web, spesso oltre agli annunci legittimi dei motori di ricerca “, ha scritto il team di Microsoft.

“L’effetto desiderato è che gli utenti, cercando determinate parole chiave, facciano inavvertitamente clic su questi annunci inseriti da malware, portando a pagine di affiliazione. Gli aggressori vincono attraverso programmi pubblicitari di affiliazione, che pagano la quantità di traffico riferito alle pagine di affiliazione sponsorizzate.

Secondo il team di Microsoft, il malware mod browser non è necessariamente nuovo o avanzato, ma il fatto che questa campagna utilizzi malware cross-browser è un’indicazione di come questo tipo di minaccia continui a diventare sempre più sofisticato. Inoltre, il malware mantiene la persistenza e filtra le credenziali del sito Web, esponendo i dispositivi interessati a ulteriori rischi.

Il follow-up di Microsoft della campagna Adrozek da maggio a settembre 2020 ha visto 159 domini univoci utilizzati per distribuire centinaia di migliaia di campioni di malware univoci, ciascuno con una media di 17.300 URL univoci, che a loro volta ospitano in media più di 15.300 campioni di malware polimorfici unici.

leggere  YouTube-Ripper MP3Fiber si spegne: le 5 migliori alternative gratuite

Da maggio a settembre 2020, il gigante tecnologico di Redmond ha registrato centinaia di migliaia di incontri di malware Adrozek in tutto il mondo, con una forte concentrazione in Europa, Asia meridionale e Sud-est asiatico.

Il malware Adrozek si installa sui dispositivi tramite un download automatico. Gli aggressori hanno fatto molto affidamento sul polimorfismo, consentendo loro di sfornare grandi volumi di campioni ed eludere il rilevamento.

Anche l’infrastruttura di distribuzione è molto dinamica. Alcuni dei domini sono stati attivi solo per un giorno, mentre altri sono stati attivi per più di 120 giorni. È interessante notare che alcuni domini hanno distribuito file puliti come Process Explorer, che probabilmente era un tentativo degli aggressori di migliorare la reputazione dei loro domini e URL ed eludere le protezioni basate sulla rete.

Microsoft ha descritto la catena di attacchi di Adrozek nell’immagine seguente:

Come puoi vedere dall’immagine sopra, il programma di installazione del dominio inserisce un file .exe con un nome di file casuale nella cartella% temp%. Questo file inserisce il payload principale nella cartella Programmi con un nome file che lo fa sembrare un software legittimo relativo all’audio. Il malware utilizza vari nomi come Audiolava.exe, QuickAudio.exe e converter.exe.

Una volta installato, Adrozek apporta varie modifiche alle impostazioni e ai componenti del browser, inclusa la home page predefinita, aggiunge nuove estensioni del browser, modifica i file DLL del browser, il motore di ricerca predefinito del browser, la pianificazione degli aggiornamenti, le impostazioni delle autorizzazioni e molto altro, per consentire al malware di iniettare annunci nella ricerca pagine dei risultati del motore.

leggere  Nintendo Switch hackerato per eseguire Debian Linux

Come se non bastasse, in Mozilla Firefox, il malware Adrozek ruba anche le credenziali utente del browser che vengono poi comunicate ai server dell’aggressore.

“Mentre molti dei domini ospitavano decine di migliaia di URL, alcuni avevano più di 100.000 URL univoci e uno ne ospitava quasi 250.000. Questa enorme infrastruttura riflette la determinazione degli aggressori a mantenere operativa questa campagna “, ha aggiunto Microsoft.

Microsoft consiglia agli utenti finali che trovano questo malware sui propri dispositivi di reinstallare i propri browser. Inoltre, ha anche aggiunto che gli utenti dovrebbero informarsi su prevenire le infezioni da malware e i rischi di scaricare e installare software da fonti non attendibili e fare clic su annunci o collegamenti su siti Web sospetti.

Come misura precauzionale, gli utenti finali devono assicurarsi che il proprio software di sicurezza e i propri sistemi operativi siano aggiornati. Per quanto riguarda le aziende, dovrebbero cercare di ridurre la superficie di attacco implementando il controllo delle applicazioni per imporre l’uso solo di applicazioni e servizi autorizzati.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *