Η Microsoft προειδοποίησε για το κακόβουλο λογισμικό κλοπής διαπιστευτηρίων που ονομάζεται Adrozek, το οποίο επηρεάζει όλους τους γνωστούς browsers και έφτασε να μολύνει ακόμα και 30.000 συσκευές κάθε μέρα.
Σε υπολογιστές που έχουν παραβιαστεί, το Adrozek εισάγει διαφημίσεις σε σελίδες αποτελεσμάτων μηχανών αναζήτησης και μπορεί να εισβάλει σε Microsoft Edge, Google Chrome, Yandex Browser και Mozilla Firefox.
Το κακόβουλο λογισμικό χρησιμοποιεί σενάρια που λαμβάνονται από διακομιστές και που ελέγχονται από τους χειριστές του Adrozek, για να εισάγουν διαφημίσεις στο παραβιασμένο πρόγραμμα περιήγησης ιστού.
Η Microsoft συνιστά στους χρήστες που βρίσκουν αυτή η απειλή στις συσκευές τους, να εγκαταστήσουν εκ νέου τα προγράμματα περιήγησης τους.
Εάν δεν εντοπιστεί και δεν αποκλειστεί το Adrozek, πάει και προσθέτει επεκτάσεις προγράμματος περιήγησης, τροποποιεί ένα συγκεκριμένο DLL ανά πρόγραμμα περιήγησης και αλλάζει τις ρυθμίσεις του browser για να εισάγει πρόσθετες, μη εξουσιοδοτημένες διαφημίσεις σε ιστοσελίδες.”
Παρόλο που η Microsoft δεν έχει βρει ακόμη στοιχεία ότι το Adrozek χρησιμοποιείται για την προώθηση κακόβουλου λογισμικού στους υπολογιστές των θυμάτων του, μέσω των διαφημιζόμενων διαφημίσεων, αυτό μπορεί να συμβεί ανά πάσα στιγμή.
Οι επιτιθέμενοι μπορούν εύκολα να μεταβούν στη μόλυνση των στόχων τους, με επιπλέον κακόβουλα δεδομένα ή να πουλήσουν την πρόσβασή τους σε άλλες συμμορίες στον κυβερνοχώρο.
Οι επιτιθέμενοι του Adrozek, προς το παρόν, λειτουργούν με τον τρόπο που κάνουν και οι άλλοι τροποποιητές των προγραμμάτων περιήγησης. Δηλαδή με το να κερδίζουν χρήματα μέσω διαφημίσεων συνεργατών τους, τα οποία πληρώνουν για επισκεψιμότητα παραπομπών σε συγκεκριμένους ιστότοπους.
Το επιδιωκόμενο αποτέλεσμα είναι, οι χρήστες που αναζητούν συγκεκριμένες λέξεις-κλειδιά, να κάνουν ακούσια κλικ σε αυτές τις διαφημίσεις που έχουν εισαχθεί από το κακόβουλο λογισμικό, οι οποίες οδηγούν σε συνδεδεμένες σελίδες.
Εκατοντάδες χιλιάδες μολυσμένες συσκευές
Συνολικά, αυτή η συνεχιζόμενη καμπάνια έχει μέχρι στιγμής χρησιμοποιήσει 159 domains και περίπου 17.300 μοναδικές διευθύνσεις URL και έχει καταφέρει να μολύνει εκατοντάδες χιλιάδες συσκευές, από το Μάιο έως τον Σεπτέμβριο του 2020.
Βλέποντας ότι αυτή η μαζική καμπάνια εξακολουθεί να είναι ενεργή και να εξαπλώνεται σε νέους υπολογιστές κάθε μέρα, η υποδομή του Adrozek συνεχίζει να επεκτείνεται και να προσθέτει νέα domains. “Η υποδομή διανομής είναι επίσης πολύ δυναμική. Ορισμένα από τα domains λειτουργούσαν για μία μόνο ημέρα, ενώ άλλα ήταν ενεργά έως και 120 ημέρες”, δήλωσε η Microsoft.
Είναι ενδιαφέρον ότι μερικά από τα domains διανέμουν καθαρά αρχεία όπως το Process Explorer, πιθανώς μια προσπάθεια από τους εισβολείς να βελτιώσουν τη φήμη των domains αυτών και των URL διευθύνσεων τους, για να αποφύγουν τα δικτυακά προγράμματα προστασίας.
Όπως θα δείτε παρακάτω, από τον χάρτη της γεωγραφικής κατανομής του κακόβουλου λογισμικού, η Ελλάδα είναι ιδιαίτερα μολυσμένη, όπως και όλη η Ευρώπη άλλωστε.
Δυνατότητες Adrozek
Μεταξύ Μαΐου και Σεπτεμβρίου 2020, οι επιτιθέμενοι πίσω από το Adrozek έχουν μολύνει τους στόχους τους με ένα εξαιρετικά ασαφές κακόβουλο εκτελέσιμο αρχείο, που αποθηκεύεται στον φάκελο% temp% του υπολογιστή. Είναι ένα δυαδικό αρχείο που αργότερα εγκαθιστά το κύριο κακόβουλο φορτίο στα αρχεία προγράμματος και που καλύπτεται ως νόμιμο λογισμικό ήχου
Αφού εγκατασταθεί στη συσκευή, το Adrozek θα αρχίσει να προσθέτει τα κακόβουλα σενάρια που χρησιμοποιεί για να εισάγει διαφημίσεις σε διάφορες επεκτάσεις , για κάθε ένα από τα προγράμματα περιήγησης.
Το κακόβουλο λογισμικό θα απενεργοποιήσει τα στοιχεία ελέγχου ασφαλείας στο Microsoft Edge και σε άλλα προγράμματα περιήγησης ιστού που βασίζονται στο Chromium, θα απενεργοποιήσει την ασφαλή περιήγηση και θα ενεργοποιήσει τις παραβιασμένες επεκτάσεις σε κατάσταση ανώνυμης περιήγησης.
Θα απενεργοποιήσει επίσης τις αυτόματες ενημερώσεις προγράμματος περιήγησης, για να βεβαιωθεί ότι τα παραβιασμένα στοιχεία του προγράμματος περιήγησης δεν επαναφέρονται σε καθαρή έκδοση.
Το Adrozek αποκτά επιμονή προσθέτοντας καταχωρίσεις στο μητρώο και δημιουργώντας μια νέα υπηρεσία Windows με την ονομασία “Main Service” (Κύρια υπηρεσία), ώστε να ξεκινήσει αυτόματα το κύριο φορτίο κακόβουλου λογισμικού, κατά την εκκίνηση του συστήματος.
Σε συστήματα όπου είναι εγκατεστημένο το Mozilla Firefox, το Adrozek θα κλέψει επίσης τα κρυπτογραφημένα διαπιστευτήρια χρήστη από το προφίλ των θυμάτων.
Έτσι, ενώ ο κύριος στόχος του κακόβουλου λογισμικού είναι η έγχυση διαφημίσεων και η αναφορά επισκεψιμότητας σε συγκεκριμένους ιστότοπους, η αλυσίδα επίθεσης περιλαμβάνει εξελιγμένη συμπεριφορά, που επιτρέπει στους εισβολείς να αποκτήσουν ισχυρή βάση σε μια συσκευή.