Представители Microsoft подтвердили, что они зарегистрировали новое вредоносное ПО Adrozek, которое непрерывно атаковало популярные браузеры:


  • Google Chrome
  • Firefox
  • Microsoft Edge
  • Яндекс

Что делает Adrozek?


  • Вставляет баннерную рекламу:
    • В поисковую выдачу
    • На любые веб-страницы
  • Ворует персональные данные

Согласно отчету Microsoft, Adrozek используется как минимум с мая 2020 года, а пик его активности приходится на август, когда он ежедневно атаковал более 30 000 браузеров.



С мая по сентябрь от этого вредоносного ПО сильно пострадали:


  • Европа
  • Азия

Инфраструктура распределения


Злоумышленники устанавливают это вредоносное ПО на устройство путем автоматической загрузки. Эксперты отслеживали деятельность Adrozek с мая по сентябрь 2020 года. В результате было установлено, что созданный злоумышленниками ботнет состоит из 159 уникальных доменов.


Многие домены содержали десятки тысяч URL-адресов, некоторые из них имели более 100 000 уникальных URL-адресов, а на одном размещалось почти 250 000 URL.



Но здесь наиболее интересным фактом этого вредоносного ПО является то, что многие домены распространяли чистые файлы, такие как Process Explorer. Вполне возможно, что таким образом злоумышленники пытались поднять трастовость у своих доменов и URL-адресов.


Манипуляции с зараженными браузерами


Помимо этого, Adrozek изменял некоторые компоненты браузера:


  • Расширения: этот вредонос вносил изменения в определенные расширения браузера. Вредоносная программа обычно модифицирует «Chrome Media Router» в расширениях браузера по умолчанию в Google Chrome.
  • DLL библиотеки браузера: вредоносная программа вмешивалась в определенные DLL библиотеки браузера.
  • Настройки безопасности браузера: вредоносная программа изменяла настройки безопасности браузера, позволяя запускать расширения без соответствующих прав.
  • Обновления браузера: это вредоносное ПО отключало функцию обновления в браузерах.

Внедрение рекламы и кража учетных данных


После того, как вредоносное ПО завершало манипуляции с компонентами и настройками браузера, у него появлялась возможность вставлять рекламу в поисковой выдаче и на других веб-страницах.



Кража учетных данных делает вредоносное ПО еще опаснее. Adrozek загружает дополнительный файл .exe со случайным именем, который собирает информацию об устройстве и его пользователях.



Что делать, если ваш браузер подцепил Adrozek


Если ваш браузер подцепил Adrozek, то вылечить его можно банальной переустановкой, но дополнительная проверка системы популярными антивирусами будет нелишней.


У пользователей Firefox Adrozek вдобавок воровал логины и пароли, которые желательно перепроверить, а лучше сразу обновить.


image