بدافزار Adrozek در چهار مرورگر مایکروسافت اج، گوگل کروم، فایرفاکس و یاندکس

مرورگرهای مایکروسافت اج، گوگل کروم، فایرفاکس و یاندکس به عنوان اهداف اخیر یک کمپین بدافزار در حال انجام به نام Adrozek شناخته شده‌اند که توسط مایکروسافت فاش شده است. این بدافزار تبلیغات را به نتایج جستجو تزریق می‌کند و برنامه‌های افزودنی مخرب را اضافه می‌کند. این تهدید هر روز در بالای ۳۰،۰۰۰ دستگاه مورد توجه قرار می‌گیرد.

بدافزار Adrozek چگونه کار می‌کند؟

هدف اصلی Adrozek هدایت افراد به صفحات وابسته است. این بدافزار بی‌صدا برنامه‌های افزودنی مخرب را اضافه می‌کند و تنظیمات مرورگر را تغییر می‌دهد تا تبلیغات را در صفحات وب وارد کند.

اثر مورد نظر این است که کاربران، در جستجوی کلمات کلیدی خاصی هستند، ناخواسته بر روی این تبلیغات درج شده بدافزار، که منجر به ایجاد صفحات وابسته می‌شود، کلیک کنند. درآمد مهاجمان از طریق برنامه‌های تبلیغاتی وابسته، که با توجه به میزان مراجعه به صفحات وابسته به حمایت مالی، درآمد کسب می‌کنند.

زیرساخت‌های توزیع

مایکروسافت اظهار داشت که از ماه مه تا سپتامبر، صدها هزار برخورد از بدافزار Adrozek را در سطح جهانی ثبت کرده است. این شرکت ۱۵۹ دامنه منحصر به فرد را ردیابی کرده است که هرکدام به طور متوسط ۱۷۳۰۰ URL منحصر به فرد را میزبانی می‌کنند، که به نوبه خود میزبان بیش از ۱۵۳۰۰ نمونه بدافزار چند شکل متمایز هستند. مایکروسافت انتظار دارد در ماه‌های آینده عملیات Adrozek حتی بیشتر شود.

​اصلاح اجزای مرورگر

Adrozek در برخی از افزونه‌های مرورگر تغییراتی ایجاد می‌کند. تیم مایکروسافت این مورد را به طور خاص در Google Chrome مشاهده کردند. معمولاً پسوند پیش فرض “Chrome Media Router” را اصلاح می‌کند. به همین ترتیب، در Microsoft Edge و Yandex Browser ، از شناسه‌های پسوندهای قانونی مانند “Radioplayer” استفاده می‌کند.

DLL های مرورگر

این بدافزار با برخی از DLL های مرورگر نیز دست و پنجه نرم می‌کند. به عنوان مثال، در Microsoft Edge ، MsEdge.dll را اصلاح می‌کند تا کنترل‌های امنیتی را که برای تشخیص هرگونه تغییر در پرونده تنظیمات امنیتی بسیار مهم هستند خاموش کند.

تنظیمات امنیتی مرورگر

مرورگرها دارای تنظیمات امنیتی هستند که از دستکاری بدافزار دفاع می‌کنند. به عنوان مثال پرونده Preferences شامل داده‌های حساس و تنظیمات امنیتی است. مرورگرهای مبتنی بر کروم از طریق امضا و تأیید اعتبار در چندین تنظیم، هرگونه تغییر غیرمجاز در این تنظیمات را تشخیص می‌دهند.

به‌روزرسانی‌های مرورگر

Adrozek برای جلوگیری از به‌روزرسانی مرورگرها با آخرین نسخه‌ها، که می‌تواند تنظیمات و اجزای اصلاح شده را بازیابی کند، خط‌مشی خاموش کردن به‌روزرسانی‌ها را اضافه می‌کند.

ماندگاری

Adrozek چندین تنظیمات سیستم را تغییر می‌دهد تا کنترل بیشتری بر دستگاه آسیب دیده داشته باشد. ورودی‌های ‘tag’ و ‘did’ حاوی آرگومان های خط فرمان هستند که برای راه‌اندازی محموله اصلی استفاده می‌شوند. برای حفظ ماندگاری، بدافزار سرویسی به نام “سرویس اصلی” ایجاد می‌کند.

تزریق آگهی

تزریق تبلیغات توسط اسکریپت‌های مخربی که از سرورهای راه‌دور بارگیری می‌شوند انجام می‌شود. بسته به کلمه کلیدی جستجو، اسکریپت‌ها تبلیغات مرتبط را در بالای تبلیغات قانونی و نتایج جستجو اضافه می‌کنند.

سرقت اعتبارنامه

در موزیلا فایرفاکس، بدافزار یک پرونده اضافی به نام .exe را بارگیری می‌کند که اطلاعات دستگاه و نام کاربری فعلی را سرقت می‌کند و این اطلاعات را به مهاجم می‌فرستد.

نتیجه

Microsoft Defender Antivirus، راه حل داخلی برای محافظت از نقطه پایانی در ویندوز ۱۰ ، از استفاده از رفتارهای مبتنی بر یادگیری ماشینی برای مسدود کردن Adrozek استفاده می‌کند. به کاربران نهایی که این تهدید را در دستگاه‌های خود پیدا می‌کنند، توصیه می‌شود مرورگرهای خود را دوباره نصب کنند.

پیکربندی نرم‌افزار امنیتی برای بارگیری و نصب خودکار به‌روزرسانی‌ها، همچنین اجرای آخرین نسخه‌های سیستم عامل و برنامه‌ها و استقرار آخرین به‌روزرسانی‌های امنیتی، به سختی نقاط پایانی تهدیدها کمک می‌کند.

منبع: فتا به نقل از جی بی هکرز