Microsoft advierte sobre una nueva campaña de malware dirigida a los principales navegadores como Google Chrome, Microsoft Edge, Yandex y Mozilla Firefox que inyecta silenciosamente anuncios adicionales en las páginas de resultados de los motores de búsqueda.
El nuevo malware, que Microsoft llamó Adrozek, secuestra los navegadores agregando extensiones de navegador, modificando una DLL específica y cambiando la configuración del navegador. El objetivo del malware es inyectar anuncios adicionales no autorizados en páginas web, a menudo además de anuncios legítimos de motores de búsqueda. Cuando se hace clic, estos anuncios llevan a los usuarios a sitios afiliados que pagan a los atacantes por la cantidad de tráfico recibido en su sitio web a través de Adrozek.
La campaña Adrozek ha estado activa desde al menos mayo de 2020, y en su punto máximo en agosto, el malware se había observado en más de 30.000 dispositivos. Microsoft dijo que de mayo a septiembre de 2020 detectó cientos de miles de infecciones en todo el mundo, con una fuerte concentración en Europa y en el sur de Asia y el sudeste asiático.
Adrozek se distribuye a través de descargas no autorizadas desde 159 dominios, cada uno de los cuales alberga un promedio de 17.300 URL únicas, que a su vez albergan más de 15.300 muestras únicas y polimórficas de Adrozek en promedio.
Una vez instalado, el malware procede a realizar varios cambios en la configuración y los componentes del navegador. Altera ciertas DLL del navegador y modifica ciertas extensiones del navegador agregando varios archivos JavaScript responsables de inyectar anuncios en los resultados de búsqueda, o creando una nueva carpeta con los mismos componentes maliciosos. El malware también cambia la configuración de seguridad en los navegadores para obtener la persistencia del reinicio mediante una clave de registro.
"Para evitar que los navegadores se actualicen con las últimas versiones, que podrían restaurar la configuración y los componentes modificados, Adrozek agrega una política para desactivar las actualizaciones", dijo Microsoft.
En el caso de Firefox, el malware roba las credenciales del usuario y descarga archivos .exe con nombres aleatorios que incluyen información del dispositivo y el nombre de usuario actualmente activo. Adrozek busca palabras clave específicas como encryptedUsername y encryptedPassword para localizar datos cifrados. Luego, descifra los datos utilizando la función PK11SDR_Decrypt () dentro de la biblioteca de Firefox y los envía a los atacantes.
“Adrozek muestra que incluso las amenazas que no se consideran urgentes o críticas son cada vez más complejas. Y si bien el objetivo principal del malware es inyectar anuncios y derivar tráfico a ciertos sitios web, la cadena de ataque implica un comportamiento sofisticado que permite a los atacantes afianzarse en un dispositivo. La adición del comportamiento de robo de credenciales muestra que los atacantes pueden expandir sus objetivos para aprovechar el acceso que pueden obtener ”, dijo Microsoft.
La compañía recomienda a los usuarios que se encontraron con esta amenaza en sus dispositivos que reinstalen sus navegadores.
