بدافزار Adrozek در چهار مرورگر مایکروسافت اج، گوگل کروم، فایرفاکس و یاندکس
مرورگرهای مایکروسافت اج، گوگل کروم، فایرفاکس و یاندکس به عنوان اهداف اخیر یک کمپین بدافزار در حال انجام به نام Adrozek شناخته شدهاند که توسط مایکروسافت فاش شده است. این بدافزار تبلیغات را به نتایج جستجو تزریق میکند و برنامههای افزودنی مخرب را اضافه میکند. این تهدید هر روز در بالای ۳۰،۰۰۰ دستگاه مورد توجه قرار میگیرد.
بدافزار Adrozek چگونه کار میکند؟
هدف اصلی Adrozek هدایت افراد به صفحات وابسته است. این بدافزار بیصدا برنامههای افزودنی مخرب را اضافه میکند و تنظیمات مرورگر را تغییر میدهد تا تبلیغات را در صفحات وب وارد کند.
اثر مورد نظر این است که کاربران، در جستجوی کلمات کلیدی خاصی هستند، ناخواسته بر روی این تبلیغات درج شده بدافزار، که منجر به ایجاد صفحات وابسته میشود، کلیک کنند. درآمد مهاجمان از طریق برنامههای تبلیغاتی وابسته، که با توجه به میزان مراجعه به صفحات وابسته به حمایت مالی، درآمد کسب میکنند.
زیرساختهای توزیع
مایکروسافت اظهار داشت که از ماه مه تا سپتامبر، صدها هزار برخورد از بدافزار Adrozek را در سطح جهانی ثبت کرده است. این شرکت ۱۵۹ دامنه منحصر به فرد را ردیابی کرده است که هرکدام به طور متوسط ۱۷۳۰۰ URL منحصر به فرد را میزبانی میکنند، که به نوبه خود میزبان بیش از ۱۵۳۰۰ نمونه بدافزار چند شکل متمایز هستند. مایکروسافت انتظار دارد در ماههای آینده عملیات Adrozek حتی بیشتر شود.
اصلاح اجزای مرورگر
Adrozek در برخی از افزونههای مرورگر تغییراتی ایجاد میکند. تیم مایکروسافت این مورد را به طور خاص در Google Chrome مشاهده کردند. معمولاً پسوند پیش فرض “Chrome Media Router” را اصلاح میکند. به همین ترتیب، در Microsoft Edge و Yandex Browser ، از شناسههای پسوندهای قانونی مانند “Radioplayer” استفاده میکند.
DLL های مرورگر
این بدافزار با برخی از DLL های مرورگر نیز دست و پنجه نرم میکند. به عنوان مثال، در Microsoft Edge ، MsEdge.dll را اصلاح میکند تا کنترلهای امنیتی را که برای تشخیص هرگونه تغییر در پرونده تنظیمات امنیتی بسیار مهم هستند خاموش کند.
تنظیمات امنیتی مرورگر
مرورگرها دارای تنظیمات امنیتی هستند که از دستکاری بدافزار دفاع میکنند. به عنوان مثال پرونده Preferences شامل دادههای حساس و تنظیمات امنیتی است. مرورگرهای مبتنی بر کروم از طریق امضا و تأیید اعتبار در چندین تنظیم، هرگونه تغییر غیرمجاز در این تنظیمات را تشخیص میدهند.
بهروزرسانیهای مرورگر
Adrozek برای جلوگیری از بهروزرسانی مرورگرها با آخرین نسخهها، که میتواند تنظیمات و اجزای اصلاح شده را بازیابی کند، خطمشی خاموش کردن بهروزرسانیها را اضافه میکند.
ماندگاری
Adrozek چندین تنظیمات سیستم را تغییر میدهد تا کنترل بیشتری بر دستگاه آسیب دیده داشته باشد. ورودیهای ‘tag’ و ‘did’ حاوی آرگومان های خط فرمان هستند که برای راهاندازی محموله اصلی استفاده میشوند. برای حفظ ماندگاری، بدافزار سرویسی به نام “سرویس اصلی” ایجاد میکند.
تزریق آگهی
تزریق تبلیغات توسط اسکریپتهای مخربی که از سرورهای راهدور بارگیری میشوند انجام میشود. بسته به کلمه کلیدی جستجو، اسکریپتها تبلیغات مرتبط را در بالای تبلیغات قانونی و نتایج جستجو اضافه میکنند.
سرقت اعتبارنامه
در موزیلا فایرفاکس، بدافزار یک پرونده اضافی به نام .exe را بارگیری میکند که اطلاعات دستگاه و نام کاربری فعلی را سرقت میکند و این اطلاعات را به مهاجم میفرستد.
نتیجه
Microsoft Defender Antivirus، راه حل داخلی برای محافظت از نقطه پایانی در ویندوز ۱۰ ، از استفاده از رفتارهای مبتنی بر یادگیری ماشینی برای مسدود کردن Adrozek استفاده میکند. به کاربران نهایی که این تهدید را در دستگاههای خود پیدا میکنند، توصیه میشود مرورگرهای خود را دوباره نصب کنند.
پیکربندی نرمافزار امنیتی برای بارگیری و نصب خودکار بهروزرسانیها، همچنین اجرای آخرین نسخههای سیستم عامل و برنامهها و استقرار آخرین بهروزرسانیهای امنیتی، به سختی نقاط پایانی تهدیدها کمک میکند.
منبع: فتا به نقل از جی بی هکرز
یک دیدگاه