编译:SKY

微软在周四发布警告说，有一款恶意软件正在进行的活动，该病毒会感染用户的设备，然后继续修改浏览器及其设置，以便将广告注入搜索结果页面。

身份不明的网络犯罪分子开发了一系列名为Adrozek的浏览器修改器。该病毒主要针对谷歌Chrome、微软Edge、Mozilla Firefox和Windows上的Yandex浏览器，主要在搜索结果页面中插入广告。

这款名为 Adrozek的恶意软件至少从2020年5月开始活跃，并于今年8月达到每天30,000个浏览器的绝对峰值。

但是在今天的一份报告中，Microsoft 365 Defender研究小组认为受感染的用户数量要高得多。微软研究人员表示，在2020年5月至2020年9月之间，他们在全球范围内观察到“成千上万”的Adrozek检测。

微软365 Defender研究团队称：“如果没有检测到并阻止，Adrozek会添加浏览器扩展，修改每个目标浏览器的特定DLL，并更改浏览器设置，以便在网页中插入其他未经授权的广告，通常是在搜索引擎的合法广告之上。”

受害者的最集中似乎在欧洲，其次是南亚和东南亚。

ADROZEK如何传播和运作

微软表示，目前，该恶意软件是通过经典的“驱动”下载方案分发的。通常，将用户从合法站点重定向到可疑域，以诱骗他们安装恶意软件。

诱杀软件安装了Androzek恶意软件，然后在注册表项的帮助下继续获取重新启动持久性。

确保持久性后，恶意软件将寻找本地安装的浏览器，例如 Microsoft Edge， Google Chrome， Mozilla Firefox或 Yandex Browser。

如果在受感染的主机上找到了这些浏览器中的任何一个，则该恶意软件将尝试通过修改浏览器的AppData文件夹来强制安装扩展程序。

为确保浏览器的安全功能不会启动并检测未经授权的修改，Adrozek还修改了一些浏览器的DLL文件以更改浏览器设置并禁用安全功能。

Adrozek执行的修改包括：

• 禁用浏览器更新
• 禁用文件完整性检查
• 禁用安全浏览功能
• 注册并激活他们在上一步中添加的扩展名
• 允许其恶意扩展程序以隐身模式运行
• 允许扩展运行而没有获得适当的权限
• 从工具栏隐藏扩展名
• 修改浏览器的默认主页
• 修改浏览器的默认搜索引擎

所有这些都是为了允许Adrozek将广告注入搜索结果页面，这些广告允许恶意软件帮派通过将流量引向广告和流量引荐计划来获得收益。

到目前为止，这些广告似乎并没有指向其他恶意软件的网站，但微软表示，这种情况随时可能改变。

但是如果这还不够糟糕，微软表示，在Firefox上，Adrozek还包含一个辅助功能，该功能可从浏览器中提取凭证并将数据上传到攻击者的服务器。

大规模行动有望进一步发展

微软表示，Adrozek的操作非常复杂，尤其是在其分发基础架构方面。

这样的攻击和策略以前也见过，但据微软称，这场通过分布式基础设施针对多个浏览器的活动规模之大、复杂程度之高，显示网络犯罪分子的作案手法越来越老练。

微软表示，自2020年5月以来，它跟踪了159个托管Adrozek安装程序的域。每个域平均托管17300个动态生成的URL，每个URL托管了15300个以上动态生成的Adrozek安装程序。

微软说：“尽管许多域名托管了数以万计的URL，但有些域名却拥有超过100000个唯一URL，其中一个托管了将近25万个URL。这种庞大的基础架构反映出攻击者如何坚定地保持这一活动的正常运行。”

“分发基础架构也非常动态。一些域仅使用了一天，而其他域则使用了更长的时间（长达120天）。”

这个分发系统提供了一些上传软件供不知情的受害者运行。安装程序会删除一个随机命名的.exe文件，该文件在Windows程序文件文件夹中安装伪装为合法音频软件的主负载。然后，安装的代码对各种浏览器组件和设置进行更改，以启用广告注入和凭证盗窃。

总而言之，由于它大量使用多态性来不断轮换其恶意软件有效载荷和分发基础结构，因此微软预计Adrozek的业务将在未来几个月内进一步增长。

Adrozek还试图更改浏览器dll，如Microsoft Edge中的MsEdge.dll，这样对安全首选项文件的更改不会被注意到。在基于Chromium的浏览器中，它修改用于防止篡改的安全相关MD5完整性检查。它还添加了一个策略来防止被它破坏的浏览器被更新。

微软今天说：“建议在设备上发现此威胁的最终用户重新安装其浏览器。”

引用：https://www.zdnet.com/article/microsoft-exposes-adrozek-malware-that-hijacks-chrome-edge-and-firefox/