Microsoft habla sobre el malware Adrozek que ha pirateado más de 30.000 navegadores

 


Microsoft advirtió sobre la aparición de un nuevo malware llamado Adrozek , que infecta los dispositivos de los usuarios y altera la configuración de su navegador para mostrar anuncios en los resultados de búsqueda.  

Esquema de trabajo Adrozek

Según la compañía, el malware ha estado activo desde al menos mayo de este año y alcanzó su punto máximo en agosto, cuando monitoreó más de 30.000 navegadores infectados cada día. Sin embargo, los analistas creen que el número real de usuarios infectados es mucho mayor, porque en el período de mayo a septiembre de 2020, los expertos registraron “cientos de miles” de detecciones de Adrozek en todo el mundo.

Europa parece ser la más afectada por la nueva amenaza, seguida por el sur y el sudeste de Asia.

Actualmente, el malware se propaga mediante los clásicos ataques drive-by. Es decir, los usuarios son redirigidos desde sitios legítimos a los dominios de los atacantes, donde son engañados para que instalen malware, que luego se asegura una presencia permanente en el sistema registrándose en el registro.

Una vez en el sistema, Adrozek buscará navegadores instalados localmente, incluidos Microsoft Edge, Google Chrome, Mozilla Firefox y Yandex Browser. Si se encuentra un objetivo, el malware intenta forzar su extensión modificando la carpeta AppData. Para garantizar que la protección del navegador no funcione y no detecte modificaciones no autorizadas, Adrozek también modifica algunos archivos DLL del navegador, configuraciones y deshabilita los mecanismos de seguridad. Por tanto, el malware realiza los siguientes cambios:

  • desactiva las actualizaciones del navegador;
  • desactiva las comprobaciones de integridad de archivos;
  • desactiva las funciones de navegación segura;
  • registra y activa la extensión agregada en el paso anterior;
  • permite que una extensión maliciosa se ejecute en modo incógnito;
  • le permite iniciar la extensión sin obtener los derechos adecuados;
  • oculta la extensión de la barra de herramientas;
  • cambia la página de inicio predeterminada del navegador;
  • cambia el motor de búsqueda predeterminado.

Todo esto se hace para garantizar que Adrozek pueda anunciarse en las páginas de resultados de búsqueda. Debido a esta publicidad, los operadores de malware reciben ingresos al dirigir el tráfico a sitios publicitarios o programas de referencia.

 Resultados de búsqueda antes y después de la infección

 

Peor aún, en el caso de Firefox, el malware también extrae las credenciales del navegador y las envía al servidor de los atacantes.

Microsoft escribe que las operaciones de Adrozek son extremadamente complejas, especialmente cuando se trata de infraestructura de distribución. Desde mayo de 2020, la compañía ha rastreado 159 dominios que albergan instaladores de Adrozek. Cada dominio alojó un promedio de 17.300 URL generadas dinámicamente, y cada URL alojó más de 15.300 instaladores de Adrozek generados dinámicamente.

“Si bien muchos de los dominios contenían decenas de miles de URL, algunos tenían más de 100,000 URL únicas y en uno encontramos casi 250,000 URL. Esta enorme infraestructura refleja la determinación de los atacantes de mantener esta campaña en funcionamiento. Algunos de estos dominios solo han estado activos durante un día, mientras que otros han estado activos durante mucho más tiempo (hasta 120 días) ”, escriben los expertos, y agregan que es probable que la escala de las operaciones de Adrozek aumente en los próximos meses.

Fuente: https://xakep.ru/

No olvides Compartir...  

Siguenos en twitter: @disoftin - @fredyavila

 

Publicar un comentario

0 Comentarios