Microsoft expone Adrozek, malware que secuestra Chrome, Edge y Firefox

Microsoft ha dado la alarma hoy sobre una nueva cepa de malware que infecta los dispositivos de los usuarios y luego procede a modificar los navegadores y su configuración para inyectar anuncios en las páginas de resultados de búsqueda.

Con el nombre de  Adrozek , el malware ha estado activo desde al menos mayo de 2020 y alcanzó su pico absoluto en agosto de este año, cuando controló más de 30.000 navegadores cada día.

Pero en un informe de hoy, el equipo de investigación de Microsoft 365 Defender cree que la cantidad de usuarios infectados es mucho, mucho mayor. Los investigadores de Microsoft dijeron que entre mayo y septiembre de 2020, observaron «cientos de miles» de detecciones de Adrozek en todo el mundo.

Según la telemetría interna, la mayor concentración de víctimas parece estar ubicada en Europa, seguida del sur y sudeste de Asia.

CÓMO SE PROPAGA Y FUNCIONA ADROZEK

Microsoft dice que, actualmente, el malware se distribuye a través de esquemas clásicos de descarga drive-by. Los usuarios suelen ser redirigidos desde sitios legítimos a dominios sospechosos donde se les engaña para que instalen software malicioso.

El software boobytrapped instala el malware Androzek, que luego procede a obtener la persistencia de reinicio con la ayuda de una clave de registro.

Una vez que se garantiza la persistencia, el malware buscará navegadores instalados localmente como  Microsoft Edge ,  Google Chrome ,  Mozilla Firefox o el  navegador Yandex .

Si alguno de estos navegadores se encuentra en hosts infectados, el malware intentará forzar la instalación de una extensión modificando las carpetas AppData del navegador.

Para asegurarse de que las funciones de seguridad del navegador no se activen y detecten modificaciones no autorizadas, Adrozek también modifica algunos de los archivos DLL de los navegadores para cambiar la configuración del navegador y deshabilitar las funciones de seguridad.

Las modificaciones realizadas por Adrozek incluyen:

  • Deshabilitar las actualizaciones del navegador
  • Deshabilitar las comprobaciones de integridad de archivos
  • Deshabilitar la función de navegación segura
  • Registrar y activar la extensión que agregaron en un paso anterior
  • Permitir que su extensión maliciosa se ejecute en modo incógnito
  • Permitir que la extensión se ejecute sin obtener los permisos adecuados
  • Ocultar la extensión de la barra de herramientas
  • Modificar la página de inicio predeterminada del navegador
  • Modificar el motor de búsqueda predeterminado del navegador

Todo esto se hace para permitir que Adrozek inyecte anuncios en las páginas de resultados de búsqueda, anuncios que permiten a la banda de malware obtener ingresos al dirigir el tráfico hacia programas de referencia de tráfico y publicidad.

Pero si esto no fuera lo suficientemente malo, Microsoft dice que en Firefox, Adrozek también contiene una función secundaria que extrae las credenciales del navegador y carga los datos en los servidores del atacante.

UNA OPERACIÓN MASIVA QUE SE ESPERA QUE CREZCA AÚN MÁS

Microsoft dice que la operación de Adrozek es extremadamente sofisticada, y especialmente en lo que respecta a su infraestructura de distribución.

El fabricante del sistema operativo dijo que rastreó 159 dominios que alojaban instaladores de Adrozek desde mayo de 2020. Cada dominio alojaba en promedio 17.300 URL generadas dinámicamente, y cada URL albergaba más de 15.300 instaladores de Adrozek generados dinámicamente.

«Si bien muchos de los dominios alojaban decenas de miles de URL, algunos tenían más de 100.000 URL únicas, y uno albergaba casi 250.000. Esta enorme infraestructura refleja la determinación de los atacantes de mantener operativa esta campaña», dijo Microsoft.

«La infraestructura de distribución también es muy dinámica. Algunos de los dominios estuvieron activos solo por un día, mientras que otros estuvieron activos por más tiempo, hasta 120 días».

Con todo, debido a su prolífico uso del polimorfismo para rotar constantemente sus cargas útiles de malware y su infraestructura de distribución, Microsoft espera que la operación de Adrozek crezca aún más en los próximos meses.

«Se recomienda a los usuarios finales que encuentren esta amenaza en sus dispositivos que vuelvan a instalar sus navegadores».

Fuente: zdnet.com

Comments are closed.