Microsoft бьёт тревогу по поводу нового вируса Adrozek

В компании Microsoft рассказали о новом штамме вредоносного ПО, которое заражает устройства пользователей и затем переходит к изменению браузеров и их настроек, чтобы размещать рекламу на страницах результатов поиска.

Фото Microsoft

Малварь, получившая название Adrozek действует, по крайней мере, с мая, 2020 и достигла своего абсолютного пика в августе этого года.

В отчёте исследователи из группы Microsoft 365 Defender заявили, что в период с мая по сентябрь 2020 года они наблюдали «сотни тысяч» обнаружений Adrozek по всему миру. Наибольшая концентрация жертв, судя по всему, находится в Европе, за которой следуют Южная и Юго-Восточная Азия.

Microsoft заявляет, что в настоящее время вредоносное ПО распространяется по классическим схемам попутной загрузки. Пользователи обычно перенаправляются с законных сайтов на теневые домены, где их обманом заставляют установить вредоносное ПО.

Программное обеспечение с ловушкой устанавливает вредоносное ПО Androzek, которое затем обеспечивает постоянную перезагрузку с помощью раздела реестра.

После обеспечения устойчивости вредоносное ПО будет искать локально установленные браузеры, такие как Microsoft Edge, Google Chrome, Mozilla Firefox или Яндекс-браузер .

Если какой-либо из этих браузеров обнаружен на заражённых хостах, вредоносная программа попытается принудительно установить расширение, изменив папки AppData браузера.

Чтобы гарантировать, что функции безопасности браузера не сработают и не обнаружат несанкционированные модификации, Adrozek также изменяет некоторые DLL-файлы браузеров, чтобы изменить настройки браузера и отключить функции безопасности.

Модификации, выполняемые Adrozek, включают:

Отключение обновлений браузера
Отключение проверки целостности файлов
Отключение функции безопасного просмотра
Регистрация и активация расширения, добавленного на предыдущем шаге
Разрешение их вредоносному расширению работать в режиме инкогнито
Разрешение запуску расширения без получения соответствующих разрешений
Скрытие расширения с панели инструментов
Изменение домашней страницы браузера по умолчанию
Изменение поисковой системы браузера по умолчанию

Все это делается для того, чтобы Adrozek мог размещать рекламу на страницах результатов поиска, рекламу, которая позволяет вредоносным программам получать доход, направляя трафик на рекламные и реферальные программы.

Microsoft утверждает, что в Firefox Adrozek также содержит дополнительную функцию, которая извлекает учётные данные из браузера и загружает данные на серверы злоумышленника.

Специалисты по безопасности ожидают, что в ближайшие месяцы объем операций Adrozek ещё больше возрастёт.

«Конечным пользователям, которые обнаруживают эту угрозу на своих устройствах, рекомендуется переустановить свои браузеры», — предупреждают в Microsoft.

Ранее Startpack сообщал, что недавно обнаруженные недостатки в протоколах с открытым исходным кодом делают уязвимыми миллионы встроенных устройств.