A Microsoft alerta sobre uma campanha de malware que infecta vários navegadores de internet. O comunicado foi feito na quinta-feira, 10, em um blog sobre a nova campanha de malware, que tem como modus operandi a inserção de anúncios silenciosamente nos resultados de buscas, afetando vários navegadores, incluindo o Microsoft Edge, Google Chrome, Yandex Browser e Mozilla Firefox.
De acordo com a Microsoft, a campanha tem distribuído em larga escala um malware persistente modificador de navegadores desde pelo menos maio deste ano. Em agosto, a ameaça atingiu seu pico, infectando mais de 30 mil dispositivos todos os dias.
“Chamamos essa família de modificador de navegador de Adrozek. Se não for detectado e bloqueado, ele adiciona extensões de navegador, modifica uma DLL específica no navegador de destino e altera as suas configurações para inserir anúncios adicionais não autorizados em páginas da web, além de, muitas vezes, anúncios legítimos de mecanismos de buscas”, escreveu a equipe da Microsoft.
“O efeito pretendido é que os usuários, em busca de certas palavras-chave, cliquem inadvertidamente nesses anúncios inseridos pelo malware, que levam a páginas afiliadas. Os invasores ganham por meio de programas de publicidade afiliados, que pagam pela quantidade de tráfego direcionado a páginas patrocinadas.”
De acordo com a equipe da Microsoft, o malware de modificação de navegadores não é necessariamente novo ou tão avançado, mas o fato de esta campanha utilizar uma variante que afeta vários navegadores é uma indicação de como esse tipo de ameaça está cada vez mais sofisticado.
Além disso, o malware mantém a persistência e exfiltra as credenciais do site, expondo os dispositivos afetados a riscos adicionais. O rastreamento da campanha Adrozek pela Microsoft de maio a setembro registrou 159 domínios exclusivos usados para distribuir centenas de milhares de amostras exclusivas de malware, cada uma hospedando uma média de 17.300 URLs exclusivas, que por sua vez hospedam, em média, mais de 15.300 amostras polimórficas exclusivas de malware.
De maio a setembro, a gigante da tecnologia registrou centenas de milhares de infecções com o malware Adrozek em todo o mundo, com grande concentração na Europa, Sul da Ásia e Sudeste Asiático.
O malware é instalado em dispositivos por meio de download drive-by. Os invasores dependem muito do polimorfismo, o que lhes permite produzir grandes volumes de amostras, bem como evitar a detecção.
A infraestrutura de distribuição também é muito dinâmica. Alguns dos domínios permaneceram ativos por apenas um dia, enquanto outros ficaram ativos por mais tempo, até 120 dias. Curiosamente, alguns dos domínios distribuíam arquivos limpos como o Process Explorer, o que provavelmente era uma tentativa dos invasores de melhorar a reputação de seus domínios e URLs e evitar proteções baseadas em rede.
O malware usa vários nomes como Audiolava.exe, QuickAudio.exe e converter.exe. Depois de instalado, o Adrozek faz várias alterações nas configurações e componentes do navegador, incluindo a página inicial padrão, adiciona novas extensões do navegador, altera os arquivos DLL, o mecanismo de busca padrão do navegador, atualiza a programação, as configurações de permissões e muito mais para permitir que o malware insira anúncios nas páginas de resultados de buscas.
Veja isso
Bug no Firefox permite sequestrar navegadores móveis via Wi-Fi
Hackers rastreiam Chrome e Firefox
Se isso não bastasse, no Mozilla Firefox, o malware Adrozek também rouba as credenciais do usuário do navegador, que são então comunicadas aos servidores do invasor. “Enquanto muitos dos domínios hospedavam dezenas de milhares de URLs, alguns tinham mais de 100 mil URLs exclusivas, com uma delas hospedando quase 250 mil. Essa infraestrutura enorme reflete o quão determinados os invasores estão em manter esta campanha operacional”, acrescenta a Microsoft.
Ela aconselha os usuários que encontrarem esse malware em seus dispositivos a reinstalar seus navegadores. Além disso, também devem se educar sobre como evitar infecções por malware e os riscos de baixar e instalar software de fontes não confiáveis e clicar em anúncios ou links em sites suspeitos.
Malware modificador de navegador
De acordo com a Microsoft, a campanha tem distribuído em larga escala um malware persistente modificador de navegadores desde pelo menos maio deste ano. Em agosto, a ameaça atingiu seu pico, infectando mais de 30 mil dispositivos todos os dias.
“Chamamos essa família de modificador de navegador de Adrozek. Se não for detectado e bloqueado, ele adiciona extensões de navegador, modifica uma DLL específica no navegador de destino e altera as suas configurações para inserir anúncios adicionais não autorizados em páginas da web, além de, muitas vezes, anúncios legítimos de mecanismos de buscas”, escreveu a equipe da Microsoft.
“O efeito pretendido é que os usuários, em busca de certas palavras-chave, cliquem inadvertidamente nesses anúncios inseridos pelo malware, que levam a páginas afiliadas. Os invasores ganham por meio de programas de publicidade afiliados, que pagam pela quantidade de tráfego direcionado a páginas patrocinadas.”
De acordo com a equipe da Microsoft, o malware de modificação de navegadores não é necessariamente novo ou tão avançado, mas o fato de esta campanha utilizar uma variante que afeta vários navegadores é uma indicação de como esse tipo de ameaça está cada vez mais sofisticado.
Além disso, o malware mantém a persistência e exfiltra as credenciais do site, expondo os dispositivos afetados a riscos adicionais. O rastreamento da campanha Adrozek pela Microsoft de maio a setembro registrou 159 domínios exclusivos usados para distribuir centenas de milhares de amostras exclusivas de malware, cada uma hospedando uma média de 17.300 URLs exclusivas, que por sua vez hospedam, em média, mais de 15.300 amostras polimórficas exclusivas de malware.
De maio a setembro, a gigante da tecnologia registrou centenas de milhares de infecções com o malware Adrozek em todo o mundo, com grande concentração na Europa, Sul da Ásia e Sudeste Asiático.
Malware polimófico
O malware é instalado em dispositivos por meio de download drive-by. Os invasores dependem muito do polimorfismo, o que lhes permite produzir grandes volumes de amostras, bem como evitar a detecção.
A infraestrutura de distribuição também é muito dinâmica. Alguns dos domínios permaneceram ativos por apenas um dia, enquanto outros ficaram ativos por mais tempo, até 120 dias. Curiosamente, alguns dos domínios distribuíam arquivos limpos como o Process Explorer, o que provavelmente era uma tentativa dos invasores de melhorar a reputação de seus domínios e URLs e evitar proteções baseadas em rede.
O malware usa vários nomes como Audiolava.exe, QuickAudio.exe e converter.exe. Depois de instalado, o Adrozek faz várias alterações nas configurações e componentes do navegador, incluindo a página inicial padrão, adiciona novas extensões do navegador, altera os arquivos DLL, o mecanismo de busca padrão do navegador, atualiza a programação, as configurações de permissões e muito mais para permitir que o malware insira anúncios nas páginas de resultados de buscas.
Se isso não bastasse, no Mozilla Firefox, o malware Adrozek também rouba as credenciais do usuário do navegador, que são então comunicadas aos servidores do invasor. “Enquanto muitos dos domínios hospedavam dezenas de milhares de URLs, alguns tinham mais de 100 mil URLs exclusivas, com uma delas hospedando quase 250 mil. Essa infraestrutura enorme reflete o quão determinados os invasores estão em manter esta campanha operacional”, acrescenta a Microsoft.
Ela aconselha os usuários que encontrarem esse malware em seus dispositivos a reinstalar seus navegadores. Além disso, também devem se educar sobre como evitar infecções por malware e os riscos de baixar e instalar software de fontes não confiáveis e clicar em anúncios ou links em sites suspeitos.
