Threat Database Malware Adrozek Malware

Adrozek Malware

De Adrozek Malware is een nieuwe malware-soort die is ontdekt door de onderzoekers van Microsoft's 365 Defender Research Team. Operationeel sinds minstens mei 2020, wordt aangenomen dat de malwarebedreiging honderdduizenden apparaten heeft geïnfecteerd. De slachtoffers lijken zich wereldwijd te bevinden, met de meest prominente clusters in Europa, gevolgd door Zuid- en Zuidoost-Azië. De reikwijdte van de campagne is indrukwekkend. De cybercriminelen die verantwoordelijk zijn voor de dreiging hebben 159 domeinen opgericht die Adrozek-installatieprogramma's hosten, die elk gemiddeld 17.300 dynamisch gegenereerde URL's bevatten. Op zijn beurt bleek elke afzonderlijke URL meer dan 15.300 dynamisch gegenereerde Adrozek-installatieprogramma's te hosten.

Het dreigende doel van Adrozek is om de apparaten van gebruikers te infecteren, hun webbrowser over te nemen en vervolgens gesponsorde advertenties in de weergegeven resultaten te injecteren voor zoekopdrachten die geldelijke winst opleveren voor de makers in het proces. De belangrijkste infectievector die bij Adrozek-aanvallen wordt gebruikt, zijn drive-by-downloads. Gebruikers worden omgeleid van legitieme websites naar dubieuze domeinen die afhankelijk zijn van manipulatieve en bedrieglijke tactieken om bezoekers te misleiden tot het downloaden van bedreigende software, die als een druppelaar voor Adrozek fungeert.

Wanneer de belangrijkste payload aan het systeem wordt geleverd, brengt het een persistentiemechanisme tot stand door gebruik te maken van registersleutels. Adrozek scant het systeem vervolgens op vier specifieke browsers: Microsoft Edge, Google Chrome, Mozilla Firefox en de Yandex-browser. De malwarebedreiging zal vervolgens proberen een bedreigende extensie geforceerd te installeren door bepaalde wijzigingen aan te brengen in de AppData-map van de specifieke browser. Adrozek moet eerst de ingebouwde beveiligingsmaatregelen van de browser uitschakelen door te knoeien met de DLL-bestanden van de browser om deze taak uit te voeren. Kortom, de malware schakelt alle browserupdates, bestandsintegriteitscontroles en de Safe Browsing-functie uit. De bedreiging vormt vervolgens de browser om tot een geschikte omgeving door de bedreigende extensie verhoogde rechten te geven, deze in de incognitomodus te laten draaien en tenslotte te registreren en uit te voeren. Om kunstmatig verkeer naar de weergegeven advertenties te genereren, leent Adrozek bepaalde functies van de browserkaper: het neemt de controle over de startpagina en de nieuwe tabbladpagina van de betreffende browser. Gebruikers die Firefox gebruiken, zullen ook worden blootgesteld aan ernstige privacyproblemen wanneer Adrozek, alleen voor die browser, een informatie-verzamelaar implementeert die accountreferenties kan verzamelen en exfiltreren.

Trending

Meest bekeken

Bezig met laden...