Microsoft предупредили пользователей о вирусе, заражающем браузеры

17.12.2020

Речь идёт об Adrozek, который, проникая на компьютер жертвы, изменяет настройки браузеров, чтобы размещать рекламу в результатах поиска.

Программа активна по меньшей мере с мая текущего года, а наибольшую активность проявила в августе. В этом месяце по подсчётам Microsoft под контролем Adrozek находилось тридцать тысяч браузеров по всему миру. Но это лишь официальные данные. Эксперты по информационной безопасности говорят о цифре, превышающей сто тысяч. Больше всего пострадавших от новой угрозы находится в Европе, второе и третье место делят Южная и Юго-Восточная Азия.

На компьютеры Adrozek попадает по принципу классического drive-by, то есть, через перенаправление с легитимного сервера на сервер хакеров. Там и происходит принудительное скачивание и установка программы. Попав в систему, вирус ищет локально установленные браузеры, например, Microsoft Edge, Google Chrome, Mozilla Firefox и Яндекс.Браузер. Найдя один или несколько подходящих вариантов, вирус получает доступ к папке AppData и изменяет данные в ней, тем самым подготавливая к установке вредоносное расширение для браузера и отключая его защитные механизмы. Если говорить конкретнее, Adrozek изменяет DLL-файлы браузера, а также его настройки по умолчанию. Вот список, действий, которые производит программа:

1. отключает обновления браузера

2. отключает проверки целостности файлов

3. отключает функции безопасного просмотра

4. регистрирует и активирует расширение, добавленное на предыдущем шаге

5. позволяет вредоносному расширению работать в режиме инкогнито

6. позволяет запуск расширения без получения соответствующих прав

7. скрывает расширение с панели инструментов

8. изменяет домашнюю страницу браузера по умолчанию

9. изменяет поисковую систему по умолчанию

Таким образом, операторы вируса получают доход с рекламы и реферальных ссылок, открываемых в поисковых системах. Более того, в Firefox Adrozek также извлекает учетные данные из браузера и отправляет их на сервер злоумышленников.

Схемы распространения вируса обширны. По меньшей мере, с мая обнаружено 159 доменов, перенаправляющих пользовательский веб-трафик на установщик вируса. На каждом домене в среднем 17 300 динамически созданных URL, а на каждом URL – от 15 300 прямых ссылок на установщик Adrozek.

В Microsoft уверены – деятельность вируса в ближайшее время пойдёт только на рост. Также эксперты дали комментарий о том, как Adrozek продолжает держать свои позиции:

«Хотя многие из доменов содержали десятки тысяч URL-адресов, некоторые имели более 100 000 уникальных URL-адресов, а на одном мы обнаружили почти 250 000 URL-адресов. Эта огромная инфраструктура отражает решимость злоумышленников поддерживать эту кампанию в рабочем состоянии. Некоторые из этих доменов работали всего один день, а другие были активны куда дольше (до 120 дней).»