Microsoft предупредила об атаке рекламного вируса на популярные браузеры

На этой неделе Microsoft сообщила о распространении вредоносного ПО Adrozek, которое изменяет настройки безопасности современных браузеров, внедряет рекламу и ворует пользовательские данные. Кампания началась в мае этого года. Ее пик пришелся на август, но злоумышленники продолжают заражать тысячи компьютеров в разных странах мира. Microsoft сообщает, что вирус наблюдался в основном в Европе и Индии на более 30 000 устройств ежедневно. Наблюдения Софтверного гиганта обнаружили 159 уникальных доменов с 17 300+ ссылок, каждая из которых содержит в среднем больше 15 000 уникальных образцов вредоносного кода.

Карта распространения Adrozek в сентябре 2020 года.

Злоумышленники направили свои усилия на четыре самых популярных браузера, а именно Chrome, Firefox, Edge и Яндекс.Браузер. Вирус внедряет дополнительную рекламу в браузер, благодаря чему его создатели могут зарабатывать деньги с кликов пользователей. Хотя непосредственного вреда подобное ПО не наносит, Adrozek, вносит вредоносные модификации в безопасность браузеров и угоняет пользовательские данные.

Вирус попадает в компьютер пользователя за счет загрузки поддельных файлов, вроде setup_.exe. Затем файл попадает во временную папку Windows, а оттуда выгружает вредоносный код в основную директорию файлов приложений. Содержимое вируса маскируется под настоящее программное обеспечение, связанное с аудио. К примеру, файл Audiolava.exe, QuickAudio.exe или converter.exe.

Если на вашем ПК обнаружились эти файлы, у Microsoft для вас есть плохие новости.

Вирус устанавливается как традиционное программное обеспечение, которое можно найти в разделе с приложениями в Параметрах Windows, регистрирует новую службу с таким же имененем, а также модифицирует реестр Windows, чтобы вредоносный код запускался при старте системы.

Механизм работы Adrozek

После успешной установки основная часть вируса подключается к серверу, откуда стягивает дополнительные файлы и компонент для угона паролей и данных пользователя. После получения доступ к последним, вирус отправляет содержимое на сервер злоумышленников. В дополнение к этому он устанавливает рекламные расширения браузер, изменяет его динамически подключаемые библиотеки и настройки безопасности, что позволяет внедрять дополнительную рекламу на страницы. К примеру, в Edge вирус модифицирует файл MsEdge.dll, после чего отключаются элементы управления безопасностью, которые отвечают за определение изменений в свойствах браузера. Это в свою очередь делает браузер уязвимым к другим атакам.

Слева - поисковая выдача компьютера "здорового человека". Слева - поисковая выдача компьютера "курилщьика", которого покоцал Adrozek.

Пост Microsoft не уточняет, необходимо ли действие со стороны пользователя для запуска вредоносного ПО. Также он не упоминает другие операционные системы, вроде macOS или Linux. Это наводит на вывод, что атака в первую очередь направлена на устройства с Windows. Из-за использования методики, известной как полиморфизм, антивирусы на основе традиционных сигнатур неэффективны в борьбе с Adrozek. Проще говоря, вирус «мутирует» от системы к системе и производит тысячи уникальных образцов. Многие антивирусы, включая встроенный в Windows 10, используют механизмы на основе искусственного интеллекта, определяющие вредоносное ПО на основе их поведенческих факторов, что позволяет обнаружить попадание вируса в систему и предотвратить его запуск.

Если вы пострадали от продукции Adrozek, Microsoft рекомендует переустановить браузер, держать все компоненты системы и браузер в актуальном состоянии, а также уделять больше внимания «цифровой гигиене». Последнее включает в себя воздержание от скачивания и запуска файлов из неизвестных или подозрительных источников, использование механизмов фильтрации ссылок, вроде SmartScreen в Microsoft Edge, а также надежных антивирусов.

Источник: Microsoft.