微软今天发出警报,称一种新的恶意软件感染用户的设备,然后继续修改浏览器及其设置,以便在搜索结果页面中插入广告。
名为Adrozek的恶意软件至少从2020年5月开始活跃,并在今年8月达到绝对峰值但在今天的一份报告中,微软365 Defender研究小组认为,被感染的用户数量要多得多。微软的研究人员说,在2020年5月至9月期间,他们在全球范围内观察到了“数十万”的阿德罗泽克探测器。
根据内部遥测技术,受害者集中度最高的似乎是在欧洲,其次是南亚和东南亚。
微软表示,目前,该恶意软件是通过经典的按驱动器下载方案分发的。用户通常会从合法站点重定向到可疑域,在那里他们被诱骗安装恶意软件。
boobytrapped软件安装Androzek恶意软件,然后在注册表项的帮助下继续获得重新启动持久性。
一旦持久性得到保证,恶意软件将查找本地安装的浏览器,如Microsoft Edge,谷歌Chrome,Mozilla Firefox,或Yandex浏览器
,如果在受感染的主机上发现这些浏览器中的任何一个,恶意软件将试图通过修改浏览器的AppData文件夹来强制安装扩展。
为确保浏览器的安全功能不会启动并检测未经授权的修改,Adrozek还修改一些浏览器的DLL文件以更改浏览器设置和禁用安全功能。
Adrozek执行的修改包括:
所有这些都已完成为了让Adrozek在搜索结果页面中插入广告,允许恶意软件团伙通过将流量导向广告和流量推荐程序来获得收入的广告。
![](“”class=“lazy”alt=“adrozek搜索比较-结果.png")
但如果这还不够糟糕的话,微软在Firefox上说,Adrozek还包含从浏览器中提取凭据并将数据上载到攻击者的服务器的辅助功能。
微软称Adrozek操作非常复杂,尤其是在其分销基础设施方面。
这家操作系统制造商表示,自2020年5月以来,它跟踪了159个拥有Adrozek安装程序的域。每个域平均托管17300个动态生成的URL,每个URL托管15300多个动态生成的Adrozek安装程序。
“虽然许多域托管了数万个URL,但少数域拥有超过100000个唯一URL,其中一个域托管了近250000个。微软说:“这个庞大的基础设施反映了攻击者是多么坚定地要让这场战役继续下去。”。一些域只运行了一天,而另一些域的活动时间更长,长达120天。“
总而言之,由于其大量使用多态性来不断轮换其恶意软件有效负载和分发基础设施,微软预计Adrozek的运营在未来几个月内会有更大的增长。
“如果终端用户在他们的设备上发现了这种威胁,建议他们重新安装浏览器,“微软今天宣布。
Copyright © 2017-2023 soword.cn SOWORD科技言
网站地图 BUG反馈 联系我们 用户隐私
栖族科技开发服务中心
浙公网安备 33011002016917号
京ICP备19009350号-2
soword科技言免费资源网站,免费API接口,免费开发模板,免费开发工具,开发技术问题,汉化版免费开发工具,API接口,开发教程,免费教程
SOWORD科技言
