Adrozek Malware

Adrozek Malware è un nuovo ceppo di malware che è stato scoperto dai ricercatori del 365 Defender Research Team di Microsoft. Operativa almeno da maggio 2020, si ritiene che la minaccia malware abbia infettato centinaia di migliaia di dispositivi. Le vittime sembrano essere localizzate in tutto il mondo, con i cluster più importanti in Europa, seguita dal sud e dal sud-est asiatico. La portata della campagna è impressionante. I cybercriminali responsabili della minaccia hanno stabilito 159 domini che ospitano gli installatori di Adrozek che, in media, contenevano 17.300 URL generati dinamicamente ciascuno. A sua volta, è stato scoperto che ogni URL separato ospita più di 15.300 programmi di installazione Adrozek generati dinamicamente.

L'obiettivo minaccioso di Adrozek è quello di infettare i dispositivi dell'utente, assumere il controllo del browser Web e quindi inserire annunci pubblicitari sponsorizzati nei risultati elencati per qualsiasi query di ricerca che generi guadagni monetari per i suoi creatori nel processo. Il principale vettore di infezione utilizzato negli attacchi Adrozek è il download drive-by. Gli utenti vengono reindirizzati da siti Web legittimi a domini dubbi che si basano su tattiche manipolative e ingannevoli per indurre i visitatori a scaricare software minaccioso, agendo come un contagocce per Adrozek.

Quando il payload principale viene consegnato al sistema, stabilisce un meccanismo di persistenza sfruttando le chiavi di registro. Adrozek eseguirà quindi la scansione del sistema per quattro browser specifici: Microsoft Edge, Google Chrome, Mozilla Firefox e il browser Yandex. La minaccia malware tenterà quindi di forzare l'installazione di un'estensione minacciosa apportando alcune modifiche alla cartella AppData del browser specifico. Adrozek deve prima disabilitare le misure di sicurezza integrate del browser manomettendo i file DLL del browser per eseguire questa operazione. In breve, il malware disabilita gli aggiornamenti del browser, i controlli di integrità dei file e la funzione Navigazione sicura. La minaccia quindi modella il browser in modo che diventi un ambiente adatto conferendo all'estensione minacciosa privilegi elevati, consentendole di funzionare in modalità di navigazione in incognito e infine registrandola ed eseguendola. Per generare traffico artificiale verso gli annunci visualizzati, Adrozek prende in prestito alcune funzionalità del dirottatore del browser: prende il controllo della home page e della nuova scheda del browser interessato. Gli utenti che eseguono Firefox saranno inoltre esposti a gravi problemi di privacy poiché Adrozek distribuisce, solo per quel browser, un raccoglitore di informazioni in grado di raccogliere ed estrarre le credenziali dell'account.