Microsoft ha rilevato una nuova campagna malware, battezzata Adrozek, che prende di mira i browser su larga scala per iniettare annunci nelle pagine dei risultati dei motori di ricerca. La minaccia colpisce più browser: Microsoft Edge, Google Chrome, Yandex Browser e Mozilla Firefox.
“Se non viene rilevato e bloccato, Adrozek aggiunge estensioni del browser, modifica una DLL specifica per browser di destinazione e cambia le impostazioni del browser per inserire annunci aggiuntivi e non autorizzati nelle pagine Web, spesso in aggiunta ad annunci legittimi dei motori di ricerca. L’effetto previsto è che gli utenti, alla ricerca di determinate parole chiave, facciano clic inavvertitamente su questi annunci inseriti da malware, che portano a pagine affiliate. Gli aggressori guadagnano attraverso programmi pubblicitari di affiliazione, che pagano in base alla quantità di traffico riferito a pagine affiliate sponsorizzate”, si legge nell’avviso pubblicato da Microsoft.
Adrozek viene installato sui dispositivi tramite download drive-by. Nel monitoraggio della campagna da maggio a settembre 2020, 159 domini unici sono stati utilizzati per distribuire centinaia di migliaia di campioni di malware unici. Sebbene molti dei domini ospitassero decine di migliaia di URL, alcuni avevano più di 100.000 URL univoci, con uno che ne ospitava quasi 250.000. Alcuni dei domini erano attivi solo per un giorno, mentre altri erano attivi fino a 120 giorni.
Gli attaccanti utilizzano questa vasta infrastruttura per distribuire centinaia di migliaia di esempi di installazione di Adrozek unici, ciascuno dei quali è fortemente offuscato e utilizza un nome file univoco che segue il formato setup_ <nome applicazione> _ <numeri> .exe.
Una volta eseguito, il programma di installazione rilascia un file .exe con un nome file casuale nella cartella% temp%. Questo file rilascia il payload principale nella cartella Programmi utilizzando un nome file che lo fa apparire un software legittimo relativo all’audio. Per esempio, vengono utilizzati vari nomi come Audiolava.exe, QuickAudio.exe e converter.exe. Il malware viene installato come un normale programma a cui è possibile accedere tramite Impostazioni> App e funzionalità e registrato come servizio con lo stesso nome.
Una volta installato, Adrozek apporta più modifiche alle impostazioni e ai componenti del browser che consentono di iniettare annunci nelle pagine dei risultati dei motori di ricerca e alterare anche alcune DLL del browser.
Il fatto che questa campagna utilizzi un malware che colpisce più browser è un’indicazione di come questo tipo di minaccia continui ad essere sempre più sofisticato. Inoltre, il malware mantiene la persistenza ed esfiltra le credenziali del sito Web, esponendo i dispositivi interessati a rischi aggiuntivi, si legge nell’avviso rilasciato da Microsoft.