Microsoft раскрывает кампанию вредоносных программ, атакующих основные браузеры

По данным Microsoft, продолжающаяся кампания вредоносного ПО, нацеленная на веб-браузеры Google Chrome, Mozilla Firefox, Microsoft Edge и Яндекс, поражает компьютеры по всему миру.

Кампания, активная с мая 2020 года, ежедневно наблюдалась на более чем 30 000 устройств на пике в августе и предназначена для размещения рекламы на странице результатов вашей поисковой системы.

Вредоносное ПО для внедрения рекламы поражает тысячи компьютеров

В своем сообщении в блоге исследовательской группы Microsoft 365 Defender Research компания подробно рассказала, как они отслеживали вредоносное ПО с начала мая 2020 года, наблюдая за его распространением по всему миру.

Тип вредоносного ПО известен как Adrozek. Семейство вредоносных программ Adrozek добавляет расширения браузера, изменяет настройки браузера, чтобы добавить рекламу в результаты поиска, и изменяет конкретную DLL, чтобы она оставалась незамеченной.

Если вредоносное ПО Adrozek не обнаружено, оно будет размещать рекламу выше тех, которые вы ожидаете увидеть в своей поисковой системе. Следующее изображение Microsoft иллюстрирует разницу:

Рекламные объявления, вставляемые в результаты поиска, включают ссылки на партнерские сайты, где злоумышленник может зарабатывать деньги за счет объема трафика, отправляемого на страницу, или за счет кликов по страницам. В худшем случае кто-то может совершить прямую покупку, что создаст потенциально опасные проблемы, такие как мошенничество с идентификацией и кредитными картами.

Кроме того, в некоторых браузерах Adrozek более опасен. В Mozilla Firefox Adrozek может активировать дополнительный модуль, который позволяет кражу учетных данных. Короче говоря, он крадет пароли, хранящиеся в вашем браузере, и отправляет их злоумышленнику.

Adrozek сосредоточен в первую очередь на Европе, с другой большой концентрацией в Южной и Юго-Восточной Азии. Согласно отчету Microsoft, этого следует ожидать от «длительной, далеко идущей кампании».

Microsoft отслеживала 159 уникальных доменов, каждый из которых содержал в среднем 17 300 URL. Каждый URL содержит в среднем 15 300 уникальных полиморфных образцов вредоносного ПО.

Связанный: Основные типы компьютерных вирусов, которых следует остерегаться

Как Adrozek попадает в вашу систему?

Что-то, что отличает Adrozek от других подобных вредоносных программ для браузеров, – это постепенная загрузка.

В этом случае под загрузкой понимается момент, когда установщик появляется на вашем компьютере без необходимости нажимать кнопку загрузки или иным образом. При запуске установщик загружает вторичный установщик, который, в свою очередь, загружает и устанавливает основные полезные данные вредоносного ПО.

Основная полезная нагрузка имеет имя файла, относящееся к звуковому программному обеспечению, например «QuickAudio.exe» или «converter.exe», которое помогает замаскировать его в ваших папках.

После установки Adrozek связывается со своим управляющим сервером и начинает изменять настройки безопасности браузера.

В браузерах есть настройки безопасности, которые защищают от взлома вредоносными программами. Например, файл настроек содержит конфиденциальные данные и настройки безопасности. Браузеры на основе Chromium обнаруживают любые несанкционированные изменения этих параметров с помощью подписей и проверки нескольких параметров.

Adrozek отключает и исправляет эти настройки безопасности, а также отключает обновления безопасности браузера. Он также включает в себя несколько функций, помогающих вредоносному ПО оставаться в вашей системе, включая создание собственной службы Windows.

Как удалить Адрозек

Если вы заметили, что ваш браузер отображает случайную рекламу или перенаправляет вас на случайные сайты, первое, что нужно сделать, это запустить сканирование на вирусы с помощью вашей антивирусной программы.

Связанный: Полное руководство по удалению вредоносных программ

Вам также следует подумать о запуске вторичного сканирования с помощью такого инструмента, как Malwarebytes, который просканирует и удалит все типы вредоносных программ из вашей системы. Наконец, команда Microsoft советует пользователям «переустановить свои браузеры», чтобы удалить любые следы вредоносного ПО.