火狐电竞微软警告一种可劫持Chrome、Edge和Firefox等浏览器的病毒Adrozek
发布时间:2022-06-27 19:15:22

  火狐电竞微软近日发出警报,称有一种新的恶意软件会感染用户的设备,修改浏览器相关设置,在搜索结果页面中插入广告。微软将此恶意软件命名“Adrozek”,该恶意软件至少从2020年5月就开始活跃,并在今年8月达到绝对峰值,当时它每天控制超过30000个浏览器。

  在这份报告中,微软365 Defender研究团队认为,被感染的用户的实际数量要高得多在2020年5月至9月期间,他们在全球范围内观察到了“数十万”的Adrozek检测结果。根据内部观测,受害者最集中的地区似乎是欧洲,其次是南亚和东南亚。

  微软表示,该恶意软件是通过典型的下载方案分发的,将用户从合法站点重定向到可疑的页面,诱骗用户安装Androzek恶意软件,然后篡改注册表,获得重启自动运行的持久性。然后,恶意软件将寻找本地安装的浏览器,例如微软Edge,谷歌浏览器,火狐浏览器, 或者Yandex浏览器。

  如果在受感染的主机上找到了这些浏览器中的任何一个,则该恶意软件将尝试通过修改浏览器的AppData文件夹来强制安装扩展程序。火狐动态为确保浏览器的安全功能不会启动并检测未经授权的修改,火狐电竞Adrozek还修改了一些浏览器的DLL文件以更改浏览器设置并禁用安全功能。

  所有这些都是为了允许Adrozek将广告注入搜索结果页面,这些广告允许恶意软件帮派通过将流量引向广告和流量引荐计划来获得收益。微软表示,在Firefox上,Adrozek还包含一个辅助功能,该功能可从浏览器中提取凭证并将数据上传到攻击者的服务器。

  微软表示,Adrozek的操作非常复杂,尤其是在其分发基础架构方面。自2020年5月以来,它跟踪了159个托管Adrozek安装程序的域。每个域平均托管17,300个动态生成的URL,每个URL托管了15,300个以上动态生成的Adrozek安装程序。

  微软说:“尽管许多域名托管了数以万计的URL,但有些域名却拥有超过100,000个唯一URL,其中一个托管了将近25万个URL。这种庞大的基础架构反映出攻击者如何坚定地保持这一活动的正常运行。”、火狐电竞“分发基础架构也非常动态。一些域仅使用了一天,而其他域则使用了更长的时间(长达120天)。”

  总而言之,由于它大量使用多态性来不断轮换其恶意软件有效载荷和分发基础结构,因此微软预计Adrozek的业务将在未来几个月内进一步增长。微软强调:“建议在设备上发现此威胁的最终用户重新安装其浏览器。