Em seu pico, o Adrozek controlava mais de 30.000 dispositivos por dia

Chamado de Adrozek, o malware está ativo desde pelo menos maio de 2020 e atingiu seu pico absoluto em agosto deste ano, quando controlava mais de 30.000 navegadores por dia.

A Microsoft deu o alarme hoje sobre o malware que infecta os dispositivos dos usuários e, em seguida, modifica os navegadores e suas configurações para injetar anúncios nas páginas de resultados de pesquisa.

Em um relatório divulgado pela Equipe de Pesquisa do Microsoft 365 Defender, acredita-se que o número de usuários infectados é muito, muito maior. Pesquisadores da Microsoft disseram que entre maio e setembro de 2020, eles observaram "centenas de milhares" de detecções de Adrozek em todo o mundo.

Com base na telemetria interna, a maior concentração de vítimas parece estar localizada na Europa, seguida pelo Sul e Sudeste Asiático.

Divulgação Microsoft

A Microsoft afirma que, atualmente, o malware é distribuído por meio de esquemas clássicos de download drive-by. Os usuários são normalmente redirecionados de sites legítimos para domínios obscuros, onde são induzidos a instalar software malicioso.

O software bloqueado instala o malware Androzek, que então prossegue para obter a persistência da reinicialização com a ajuda de uma chave de registro.

Assim que a persistência for garantida, o malware procurará navegadores instalados localmente, como Microsoft Edge, Google Chrome, Mozilla Firefox ou o navegador Yandex.

Se algum desses navegadores for encontrado em hosts infectados, o malware tentará forçar a instalação de uma extensão modificando as pastas AppData do navegador.

Para garantir que os recursos de segurança do navegador não sejam ativados e detectem modificações não autorizadas, Adrozek também modifica alguns dos arquivos DLL do navegador para alterar as configurações do navegador e desativar os recursos de segurança.

As modificações realizadas por Adrozek incluem:

- Desativando atualizações do navegador

- Desativando verificações de integridade de arquivo

- Desativando o recurso Navegação segura

- Registrando e ativando a extensão que eles adicionaram na etapa anterior

- Permitindo que sua extensão maliciosa seja executada no modo anônimo

- Permitir que a extensão seja executada sem obter as permissões apropriadas

- Escondendo a extensão da barra de ferramentas

- Modificando a página inicial padrão do navegador

- Modificando o mecanismo de pesquisa padrão do navegador

Tudo isso é feito para permitir que a Adrozek injete anúncios nas páginas de resultados de pesquisa, anúncios que permitem que a gangue do malware ganhe receita direcionando o tráfego para anúncios e programas de referência de tráfego.

Divulgação Microsoft

Mas se isso não fosse ruim o suficiente, a Microsoft diz que no Firefox, o Adrozek também contém um recurso secundário que extrai credenciais do navegador e carrega os dados para os servidores do invasor.

A Microsoft diz que a operação Adrozek é extremamente sofisticada, especialmente no que diz respeito à sua infraestrutura de distribuição.

O fabricante do sistema operacional disse que rastreou 159 domínios que hospedavam instaladores Adrozek desde maio de 2020. Cada domínio hospedava em média 17.300 URLs gerados dinamicamente, e cada URL hospedava mais de 15.300 instaladores Adrozek gerados dinamicamente.

“Enquanto muitos dos domínios hospedavam dezenas de milhares de URLs, alguns tinham mais de 100.000 URLs exclusivos, com um hospedando quase 250.000. Esta enorme infraestrutura reflete o quão determinado os invasores estão em manter esta campanha operacional”, disse a Microsoft.

“A infraestrutura de distribuição também é muito dinâmica. Alguns domínios ficaram ativos por apenas um dia, enquanto outros permaneceram ativos por mais tempo, até 120 dias.”

Em suma, devido ao uso prolífico do polimorfismo para girar constantemente suas cargas de malware e infraestrutura de distribuição, a Microsoft espera que a operação Adrozek cresça ainda mais nos próximos meses.

"Os usuários finais que encontrarem essa ameaça em seus dispositivos são aconselhados a reinstalar seus navegadores", disse a Microsoft hoje.

A Ksecurity é uma empresa de consultoria em segurança de dados e tem uma equipe especialista que está pronta para auxiliar seu negócio a manter segurança dos seus dados.

Converse agora com um de nossos consultores: comercial@ksecurity.com.br

Fonte: IT Magazine