Novi malver Adrozek na inficiranim uređajima preuzima kontrolu nad Chromeom, Firefoxom i Edgeom

Vesti, 11.12.2020, 10:30 AM

Novi malver Adrozek na inficiranim uređajima preuzima kontrolu nad Chromeom, Firefoxom i Edgeom

Microsoft je upozorio na novi malver koji inficira uređaje korisnika, a zatim nastavlja sa modifikovanjem pregledača i njihovih podešavanja kako bi ubacio oglase na stranice sa rezultatima pretrage.

Malver koji je nazvan Adrozek aktivan je bar od maja 2020. godine, a svoj apsolutni vrhunac dostigao je u avgustu ove godine kada je svakodnevno kontrolisao više od 30000 pregledača.

Ali istraživači Microsofta veruju da je broj zaraženih korisnika mnogo, mnogo veći. Oni kažu da su između maja i septembra 2020. godine primetili „stotine hiljada“ detekcija Adrozeka širom sveta.

Najveća koncentracija zaraženih uređaja je u Evropi, zatim u Južnoj i Jugoistočnoj Aziji.

Microsoft kaže da se malver trenutno distribuira u “drive-by download” napadima. Korisnici su obično preusmereni sa legitimnih veb sajtova na sumnjive domene gde su prevareni da instaliraju malver.

Softver koji preuzmu instalira malver Adrozek, koji zatim obezbeđuje trajno ponovno pokretanje uz pomoć ključa registratora.

Kada se osigura postojanost, malver će tražiti instalirane pregledače kao što su Microsoft Edge, Google Chrome, Mozilla Firefox ili Yandex.

Ako se bilo koji od ovih pregledača pronađe na zaraženim uređajima, malver će pokušati da prinudno instalira ekstenziju modifikujući AppData foldere pregledača.

Da bi se osiguralo da se bezbednosne funkcije pregledača ne pokreću i otkriju neovlašćene izmene, Adrozek modifikuje neke DLL fajlove pregledača da bi promenio postavke pregledača i onemogućio bezbednosne funkcije.

Izmenama Adrozek onemogućava ažuriranja pregledača, proveru integriteta fajlova, funkciju Safe Browsing, registrovanje i aktiviranje ekstenzije koje je dodata u prethodnom koraku, omogućava svojoj malicioznoj ekstenziji da radi u režimu bez arhiviranja, omogućava pokretanje dodatka bez dobijanja odgovarajućih dozvola, sakriva ekstenziju sa trake sa alatima, menja podrazumevane početne stranice pregledača i menja podrazumevane pretraživače pregledača.

Sve ovo se radi kako bi se Adrozeku omogućilo da ubacuje oglase na stranice sa rezultatima pretraživanja, oglase koji omogućavaju sajber kriminalcima koji distribuiraju malver da zarađuju usmeravanjem saobraćaja ka oglasima.

Na Firefoxu Adrozek takođe izvlači korisnička imena i lozinke iz pregledača i ukradene podatke šalje na servere napadača.

Microsoft kaže da je cela operacija Adrozek izuzetno sofisticirana, posebno u pogledu distributivne infrastrukture. Istraživači su pratili 159 domena koji su hostovali instalacione programe Adrozeka od maja 2020. Svaki domen je u proseku hostovao 17300 dinamički generisanih URL-ova, a svaka URL adresa više od 15300 dinamički generisanih Adrozek instalacionih fajlova.

„Ova ogromna infrastruktura pokazuje koliko su napadači odlučni da ova kampanja ostane operativna”, rekao je Microsoft. „Distribuciona infrastruktura je takođe vrlo dinamična. Neki domeni su radili samo jedan dan, dok su drugi bili aktivni duže, do 120 dana.”

Zahvaljujući ovakvom polimorfizmu, Microsoft očekuje da će broj infekcija malverom Adrozek još više rasti u narednim mesecima.

„Korisnicima koji ovu pretnju pronađu na svojim uređajima savetuje se da ponovo instaliraju svoje pregledače“, rekao je Microsoft.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Hakeri izmenili ukradene podatke o Fajzerovoj vakcini da bi sabotirali vakcinaciju

Hakeri izmenili ukradene podatke o Fajzerovoj vakcini da bi sabotirali vakcinaciju

Hakeri koji su ukrali informacije o Phizer/BioNTech vakcini protiv COVID-19 u sajber napadu na medicinsku agenciju Evropske unije koji se dogodio pro... Dalje

Zatvara se Joker's Stash, najveća prodavnica ukradenih kreditnih kartica

Zatvara se Joker's Stash, najveća prodavnica ukradenih kreditnih kartica

Administrator Joker's Stasha, popularnog i jednog od najdugovečnijih sajtova mračnog veba za kupovinu ukradenih kreditnih kartica, najavio je u peta... Dalje

Zbog egzodusa korisnika, WhatsApp odložio primenu novih kontroverznih smernica o deljenju podataka korisnika sa Facebookom

Zbog egzodusa korisnika, WhatsApp odložio primenu novih kontroverznih smernica o deljenju podataka korisnika sa Facebookom

WhatsApp je saopštio da do 15. maja neće primenjivati nedavno najavljeno kontroverzno ažuriranje smernica o deljenju podataka koje je, kako je prv... Dalje

Facebook tužio dvojicu programera ekstenzija za Chrome zbog prikupljanja podataka korisnika

Facebook tužio dvojicu programera ekstenzija za Chrome zbog prikupljanja podataka korisnika

Facebook je tužio dvojicu portugalskih programera zbog ekstenzija za Chrome koje su prikupljale korisničke podatke sa Facebookovih veb sajtova. &bdq... Dalje

Procurili podaci o Fajzerovoj vakcini koje su ukrali nepoznati hakeri

Procurili podaci o Fajzerovoj vakcini koje su ukrali nepoznati hakeri

Evropska agencija za lekove (EMA) je saopštila da su neki podaci o vakcini protiv COVID-19 koju proizvode Pfizer i BioNTech ukradeni sa njenih server... Dalje