Threat Database Malware Adrozek Malware

Adrozek Malware

Adrozek Malware er en ny malware-stamme, der er blevet afdækket af forskerne på Microsofts 365 Defender Research Team. Operativt siden mindst maj 2020 antages malware-truslen at have inficeret hundreder af tusinder af enheder. Ofrene ser ud til at være placeret over hele verden, med de mest fremtrædende klynger i Europa, efterfulgt af Syd- og Sydøstasien. Kampagnens omfang er imponerende. De cyberkriminelle, der er ansvarlige for truslen, har etableret 159 domæner, der er vært for Adrozek-installatører, der i gennemsnit indeholdt 17.300 dynamisk genererede webadresser hver. Til gengæld blev hver separat URL fundet at være vært for mere end 15.300 dynamisk genererede Adrozek-installatører.

Adrozeks truende mål er at inficere brugerens enheder, overtage deres webbrowser og derefter injicere sponsorerede reklamer i de anførte resultater for eventuelle søgeforespørgsler, der genererer monetære gevinster for dets skabere i processen. Den vigtigste infektionsvektor, der anvendes i Adrozek-angreb, er drive-by-downloads. Brugere omdirigeres fra legitime websteder til tvivlsomme domæner, der er afhængige af manipulerende og bedragende taktik for at narre besøgende til at downloade truende software, der fungerer som en dropper for Adrozek.

Når hovednyttelasten leveres til systemet, opretter den en vedvarende mekanisme ved at udnytte registreringsdatabasenøgler. Adrozek scanner derefter systemet efter fire specifikke browsere - Microsoft Edge, Google Chrome, Mozilla Firefox og Yandex-browseren. Malwaretruslen vil derefter forsøge at tvinge-installere en truende udvidelse ved at foretage visse ændringer af den specifikke browsers AppData-mappe. Adrozek skal først deaktivere browserens indbyggede sikkerhedsforanstaltninger ved at manipulere med browserens DLL-filer for at udføre denne opgave. Kort sagt, malware deaktiverer enhver browseropdatering, filintegritetskontrol og Safe Browsing-funktionen. Truslen støtter derefter browseren til at blive et passende miljø ved at give den truende udvidelse forhøjede privilegier, lade den køre i inkognitotilstand og til sidst registrere og udføre den. For at generere kunstig trafik mod de viste annoncer låner Adrozek visse browser hijacker-funktioner - det tager kontrol over hjemmesiden og den berørte browsers nye faneside. Brugere, der kører Firefox, vil også blive udsat for alvorlige privatlivsproblemer, når Adrozek distribuerer, kun for den browser, en infosamler, der kan høste og exfiltrere kontooplysninger.

Trending

Mest sete

Indlæser...