微软近日警告,一个活跃的团伙在发布一款名为Adrozek的新恶意软件,它能劫持浏览器,并窃取用户登录信息。恶意软件在高峰时期每天可以接管30000多个设备。Adrozek可在受感染的计算机上将广告注入到搜索引擎结果页面中,可以劫持Microsoft Edge、Google Chrome、Yandex Browser和Mozilla Firefox四大浏览器。该恶意软件使用从幕后团伙控制的服务器下载的恶意脚本,篡改被劫持的Web浏览器的设置和组件后注入广告。Microsoft 365 Defender研究团队表示:“建议在设备上发现该威胁的最终用户重新安装浏览器。”“如果未被检测到且未被阻止,Adrozek会添加浏览器扩展,根据目标浏览器篡改特定的DLL,并更改浏览器设置,将其他未经授权的广告插入到网页中,常常附在搜索引擎的合法广告上面。”虽然微软尚未找到表明Adrozek被用来通过注入的广告将恶意软件发送到受害者计算机上的证据,但这种情况随时有可能发生。攻击者可以轻松地改而使用其他恶意有效载荷感染目标,或者将投放恶意软件的渠道出售给其他网络犯罪团伙。微软补充说:“然而,Adrozek攻击者采用了与其他浏览器修改者同样的方式,即通过联盟广告计划来牟利,这类计划付费给引到某些网站的流量。”“预期的结果是,搜索某些关键字的用户无意中点击了这些植入恶意软件的广告,从而转到联盟页面。”“攻击者通过联盟广告计划来牟利,该计划按引到赞助联盟页面的流量来付费。”到目前为止,这次活跃的攻击活动使用了159个域来托管“每个域平均17300个独特的URL”,这些URL向受感染的设备投放15300多个多态恶意软件样本,导致从2020年5月到2020年9月数十万个样本被部署到了受感染的设备上。看到这次大规模活动仍在继续,每天传播到新计算机上,Adrozek的基础设施仍在壮大,并添加了用于注入新的独特恶意软件有效载荷的新主机域。微软表示:“分发基础设施也极具动态性。其中一些域仅使用了一天,其他域则使用了更长的时间(长达120天)。”“值得关注的是,我们看到一些域在分发干净的文件,比如Process Explorer,这可能是攻击者企图提高其域和URL的信誉,并逃避基于网络的保护机制。”2020年5月到2020年9月,攻击目标登录到用来发送成千上万个Adrozek样本的159个域中的其中一个域时,Adrozek恶意软件活动背后的攻击者通过路过式下载感染了这些目标。Adrozek是一种多态恶意软件,还可以逃避检测,这也使其幕后团伙可以轻松地将大量的新样本部署到分发基础设施上。微软补充道:“虽然许多域托管数以万计的URL,但有几个域有100000多个独特的URL,一个域更是托管了近250000个URL。”“这个庞大的基础设施反映出了攻击者维持这次攻击活动顺利运作的决心有多强。”受害者收到了一个严重打乱的恶意可执行文件,该文件被保存在计算机的%temp%文件夹中,该二进制文件随后会投放,将伪装成合法音频软件的主要有效载荷安装到Program Files(程序文件)中。Adrozek被安装到设备上之后,将开始添加用于将广告注入到针对其劫持的每款浏览器的多个扩展中的恶意脚本。该恶意软件将关闭Microsoft Edge及其他基于Chromium的Web浏览器上的安全控制机制,关闭安全浏览模式,并启用隐身模式下的被劫持扩展。它还将禁用受感染计算机上的浏览器自动更新,以确保被劫持的浏览器组件没有恢复到干净版本。Adrozek通过添加注册表项并创建一个名为“Main Service”的新Windows服务来永久潜伏起来,以便系统启动时自动启动恶意软件的主要有效载荷。在安装有Mozilla Firefox的系统上,Adrozek还将从受害者的Firefox配置文件中窃取加密的用户登录信息,然后将解密后的登录信息发送给幕后团伙。微软总结道:“借助这一额外功能,Adrozek有别于篡改浏览器的其他恶意软件,表明了它不存在所谓的低优先级或非紧急威胁一说。”“尽管恶意软件的主要目的是注入广告并将流量引至某些网站,但攻击链涉及复杂的行为,从而使攻击者可以在设备上盘踞下来。”
