I ricercatori di sicurezza Microsoft hanno monitorato una nuova famiglia di malware del browser denominati Adrozek che viene installato su un singolo dispositivo e può modificare quattro browser ampiamente utilizzati per inserire annunci nei risultati di ricerca, ha osservato la società questa settimana.
Il team di ricerca di Microsoft 365 Defender afferma che Adrozek ha attaccato Microsoft Edge, Google Chrome, Yandex Browser e Mozilla Firefox almeno da maggio con malware che inietta annunci nelle pagine dei risultati dei motori di ricerca. Microsoft ritiene che centinaia di migliaia di dispositivi potrebbero essere interessati.
“Se non viene rilevato e bloccato, Adrozek aggiunge estensioni del browser, modifica una DLL specifica per browser di destinazione e cambia le impostazioni del browser per inserire annunci aggiuntivi e non autorizzati nelle pagine web, spesso in aggiunta ad annunci legittimi dai motori di ricerca“, afferma Microsoft.
Il risultato desiderato dall’aggressore è che coloro che cercano un argomento utilizzando parole chiave specifiche facciano clic inavvertitamente su questi annunci inseriti da malware, che portano a pagine affiliate. Con Mozilla Firefox, ci sono esempi di furto di credenziali da parte di Adrozek aggiungendo uno script aggiuntivo che raccoglie le informazioni sul dispositivo e il nome utente attualmente attivo.
Adrozek è ancora operativo, afferma Microsoft, e chiunque trovi il malware sul proprio dispositivo deve reinstallare il browser per eliminare la minaccia.
Information Security Media Group ha chiesto agli editori del browser di commentare, ma i portavoce non sono stati ancora disponibili.
Abuso dei programmi pubblicitari di affiliazione
I programmi pubblicitari di affiliazione sono impostati da commercianti che quindi pagano a terzi una commissione per ogni lead o vendita che aiutano a generare. Posizionare questi annunci in alto nei risultati dei motori di ricerca mirati aiuta a indirizzare il traffico verso gli annunci controllati dagli attori della minaccia. Microsoft nota che l’abuso di questi programmi è un vecchio trucco per i criminali informatici, ma Adrozek ha portato qualcosa di nuovo sul tavolo (vedi: Google Removes 500 Chrome Extensions Tied to Malvertising).
“Il fatto che questa campagna utilizzi un malware che colpisce più browser è un’indicazione di come questo tipo di minaccia continui a essere sempre più sofisticato. Inoltre, il malware mantiene la persistenza ed esfiltra le credenziali del sito web, esponendo i dispositivi interessati a rischi aggiuntivi“, dice Microsoft.
I ricercatori Microsoft hanno scoperto che gli aggressori hanno sviluppato un sistema di supporto molto ampio per la loro truffa. Ciò include la creazione di 159 domini unici che ospitano ciascuno più di 17.000 URL univoci, che a loro volta ospitano più di 15.000 campioni di malware polimorfici univoci.
Adrozek è stato individuato in centinaia di migliaia di incontri tra maggio e settembre, con un picco in agosto, quando è stato osservato su oltre 30.000 dispositivi ogni giorno, secondo Microsoft.
“Sebbene molti dei domini ospitassero decine di migliaia di URL, alcuni avevano più di 100.000 URL univoci, con uno che ne ospitava quasi 250.000. Questa enorme infrastruttura riflette la determinazione degli aggressori nel mantenere operativa questa campagna“, si osserva sul rapporto.
Finora, gli annunci iniettati non puntano a siti dannosi e gli hacker si accontentano di fare soldi attraverso il programma di affiliazione, ma Microsoft afferma che questo potrebbe cambiare in qualsiasi momento.
Download drive-by
Il malware viene installato su un dispositivo tramite un download drive-by quando un utente visita inavvertitamente uno dei domini dannosi controllati dall’aggressore. Il malware viene rilasciato nella cartella Programmi del browser utilizzando un nome che lo fa sembrare un software relativo all’audio per evitare il rilevamento.
Una volta installato, Adrozek apporta più modifiche alle impostazioni e ai componenti del browser. Queste modifiche consentono al malware di iniettare annunci nelle pagine dei risultati dei motori di ricerca. Vengono apportate modifiche anche alle estensioni del browser. Ad esempio, su Google Chrome, Adrozek normalmente modifica Chrome Media Router, una delle estensioni predefinite del browser.
“Nonostante il targeting di estensioni diverse su ciascun browser, il malware aggiunge gli stessi script dannosi a queste estensioni. In alcuni casi, il malware modifica l’estensione predefinita aggiungendo sette file JavaScript e un file manifest.json al percorso del file dell’estensione di destinazione. In altri casi, crea una nuova cartella con gli stessi componenti dannosi“, afferma Microsoft.
Questi script fanno parte del processo di comunicazione e si connettono al server di comando e controllo, che gestisce l’iniezione degli annunci dannosi desiderati sul dispositivo della vittima.
Mantenere la persistenza
Il malware ha diversi strumenti a sua disposizione per mantenere la persistenza. Innanzitutto, il malware altera alcune delle DLL del browser per disattivare i controlli di sicurezza. Successivamente, poiché la maggior parte dei browser è in grado di rilevare eventuali modifiche non autorizzate, il malware mette in atto una patch a due byte che annulla il controllo di integrità, il che rende il browser potenzialmente più vulnerabile a dirottamenti o manomissioni, afferma Microsoft.
Con il controllo dell’integrità disabilitato, Adrozek procede alla modifica delle impostazioni di sicurezza, assicurandosi che non influenzi il malware, afferma Microsoft.