Microsoft раскрывает кампанию вредоносных программ, атакующих основные браузеры
По данным Microsoft, продолжающаяся кампания вредоносного ПО, нацеленная на браузеры Google Chrome, Mozilla Firefox, Microsoft Edge и Яндекс, поражает компьютеры по всему миру.
Кампания, активная с мая 2020 года, ежедневно наблюдалась на более чем 30 000 устройств на пике в августе и предназначена для размещения рекламы на странице результатов вашей поисковой системы.
Вредоносное ПО для внедрения рекламы поражает тысячи компьютеров
В сообщении на Блог группы исследования защитника Microsoft 365, компания подробно рассказала, как они отслеживали вредоносное ПО с начала мая 2020 года, наблюдая за его распространением по всему миру.
Тип вредоносного ПО известен как Adrozek. Семейство вредоносных программ Adrozek добавляет расширения браузера, изменяет настройки браузера, чтобы добавить рекламу в результаты поиска, и изменяет конкретную DLL, чтобы она оставалась незамеченной.
Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)
Если вредоносное ПО Adrozek не обнаружено, оно будет размещать рекламу выше тех, которые вы ожидаете увидеть в своей поисковой системе. Следующее изображение Microsoft иллюстрирует разницу:
Рекламные объявления, вставляемые в результаты поиска, включают ссылки на партнерские сайты, на которых злоумышленник может зарабатывать деньги за счет объема трафика, отправляемого на страницу, или за счет кликов по страницам. В худшем случае кто-то может совершить прямую покупку, что создаст потенциально опасные проблемы, такие как мошенничество с идентификационными данными и кредитными картами.
Кроме того, в некоторых браузерах Adrozek более опасен. В Mozilla Firefox Adrozek может активировать дополнительный модуль, который позволяет кражу учетных данных. Короче говоря, он крадет пароли, хранящиеся в вашем браузере, и отправляет их злоумышленнику.
Adrozek сосредоточен в первую очередь на Европе, с другой большой концентрацией в Южной и Юго-Восточной Азии. Согласно отчету Microsoft, этого следует ожидать от «длительной, далеко идущей кампании».
Microsoft отслеживала 159 уникальных доменов, каждый из которых содержал в среднем 17 300 URL. Каждый URL содержит в среднем 15 300 уникальных полиморфных образцов вредоносного ПО.
Как Adrozek попадает в вашу систему?
Что-то, что отличает Adrozek от других подобных вредоносных программ для браузеров, – это постепенная загрузка.
В этом случае под загрузкой понимается момент, когда установщик появляется на вашем компьютере без необходимости нажимать кнопку загрузки или иным образом. При запуске установщик загружает вторичный установщик, который, в свою очередь, загружает и устанавливает основную полезную нагрузку вредоносного ПО.
Основная полезная нагрузка имеет имя файла, относящееся к звуковому программному обеспечению, например «QuickAudio.exe» или «converter.exe», которое помогает замаскировать его в ваших папках.
После установки Adrozek связывается со своим управляющим сервером и начинает изменять настройки безопасности браузера.
В браузерах есть настройки безопасности, которые защищают от взлома вредоносными программами. Например, файл настроек содержит конфиденциальные данные и настройки безопасности. Браузеры на основе Chromium обнаруживают любые несанкционированные изменения этих настроек с помощью подписей и проверки нескольких параметров.
Adrozek отключает и исправляет эти настройки безопасности, а также отключает обновления безопасности браузера. Он также включает несколько функций, помогающих вредоносному ПО оставаться в вашей системе, включая создание собственной службы Windows.
Как удалить Адрозек
Если вы заметили, что ваш браузер отображает случайную рекламу или перенаправляет вас на случайные сайты, первое, что нужно сделать, – это запустить сканирование на вирусы с помощью вашей антивирусной программы.
Вам также следует подумать о запуске вторичного сканирования с помощью такого инструмента, как Malwarebytes, который просканирует и удалит все типы вредоносных программ из вашей системы. Наконец, команда Microsoft советует пользователям «переустановить свои браузеры», чтобы удалить любые следы вредоносного ПО.