Adrozek Malware

O Adrozek Malware é um novo tipo de malware que foi descoberto pelo grupo de pesquisadores do 365 Defender da Microsoft. Operacional desde pelo menos maio de 2020, acredita-se que a ameaça de malware tenha infectado centenas de milhares de dispositivos. As vítimas parecem estar localizadas em todo o mundo, com os aglomerados mais proeminentes na Europa, seguido pelo Sul e Sudeste Asiático. O alcance da campanha é impressionante. Os cibercriminosos responsáveis pela ameaça estabeleceram 159 domínios que hospedam instaladores Adrozek que, em média, continham 17.300 URLs gerados dinamicamente cada. Por sua vez, descobriu-se que cada URL separado hospedava mais de 15.300 instaladores Adrozek gerados dinamicamente.

O objetivo ameaçador do Adrozek é infectar os dispositivos do usuário, assumir o controle do navegador da Web e, em seguida, injetar anúncios patrocinados nos resultados listados para quaisquer consultas de pesquisa que gerem ganhos monetários para seus criadores no processo. O principal vetor de infecção usado em ataques de Adrozek são os downloads drive-by. Os usuários estão sendo redirecionados de sites legítimos para domínios duvidosos que contam com táticas manipuladoras e enganosas para induzir os visitantes a baixar um software ameaçador, agindo como um conta-gotas para Adrozek.

Quando a carga útil principal é entregue ao sistema, ela estabelece um mecanismo de persistência explorando as chaves do Registro. Adrozek irá então escanear o sistema em busca de quatro navegadores específicos - Microsoft Edge, Google Chrome, Mozilla Firefox e o navegador Yandex. A ameaça de malware tentará forçar a instalação de uma extensão ameaçadora fazendo certas modificações na pasta AppData do navegador específico. Adrozek deve primeiro desabilitar as medidas de segurança integradas do navegador adulterando os arquivos DLL do navegador para realizar esta tarefa. Resumindo, o malware desativa todas as atualizações do navegador, verificações de integridade de arquivos e o recurso Navegação segura. A ameaça então molda o navegador para se tornar um ambiente adequado, dando privilégios elevados à extensão ameaçadora, permitindo que ela seja executada no modo incógnito e, finalmente, registrando-a e executando-a. Para gerar tráfego artificial para os anúncios exibidos, Adrozek empresta certos recursos do sequestrador de navegador - ele assume o controle da página inicial e da página da nova guia do navegador afetado. Os usuários que executam o Firefox também serão expostos a sérios problemas de privacidade à medida que o Adrozek implanta, apenas para aquele navegador, um coletor de informações que pode coletar e exfiltrar credenciais de conta.