0
0
O malware modificador de anúncios do Adrozek também extrai dados do dispositivo e rouba credenciais, tornando-o uma ameaça ainda mais perigosa.
Uma campanha persistente de malware chamada Adrozek tem usado um modificador de navegador evoluído para fornecer anúncios fraudulentos para páginas de mecanismos de pesquisa, de acordo com a Microsoft.
No seu auge em agosto, Adrozek foi observado em mais de 30.000 dispositivos por dia, descobriram os pesquisadores, afetando vários navegadores.
A família Adrozek de malware altera as configurações do navegador para permitir que ele insira anúncios falsos sobre os legítimos, o que rende aos golpistas dólares de publicidade de afiliados para cada usuário que eles podem enganar para clicar.
Tornando a Adrozek uma ameaça ainda mais perigosa, o malware extrai dados do dispositivo infectado e envia-os para um servidor remoto para ser usado mais tarde; e, em alguns casos, rouba credenciais de dispositivos.
A extensa proliferação e persistência do Adrozek em todo o mundo, e seu impacto em vários navegadores, incluindo Google Chrome, Microsoft Edge, Mozilla Firefox e Yandex, representa um avanço significativo no malware de modificadores de navegador, explicaram os pesquisadores, em descobertas divulgadas em 10 de dezembro. Novas ferramentas, o tamanho da infraestrutura da campanha e a persistência do malware uma vez que infecta um dispositivo sobrecarregaram esse golpe de pão e manteiga em uma nova era.
“Este é um grande exemplo de como os atacantes modernos tecnicamente avançados são”, disse Erich Kron, defensor da conscientização de segurança do KnowBe4, ao Threatpost por e-mail. “Embora muitas vezes ouçamos sobre violações de dados e transferências bancárias fraudulentas, campanhas como esta correm silenciosamente em segundo plano gerando renda redirecionando resultados de pesquisa. Em muitos casos, é provável que os anunciantes não saibam que o malware está sendo usado para aumentar esse tráfego. Os anunciantes estão perdendo dinheiro, pois estão apresentando anúncios para pessoas possivelmente desinteressadas, enquanto pagam os cibercriminosos.”
Infraestrutura Adrozek
A Microsoft rastreou a fonte de Adrozek e descobriu que ela era apoiada por uma enorme infraestrutura global.
“Rastreamos 159 domínios únicos, cada um hospedando uma média de 17.300 URLs exclusivos, que por sua vez hospedam mais de 15.300 amostras únicas de malware polimórfico em média”, informou a Microsoft. “No total, de maio a setembro de 2020, registramos centenas de milhares de encontros do malware Adrozek em todo o mundo, com forte concentração na Europa e no sul da Ásia e sudeste da Ásia. Como esta campanha está em andamento, essa infraestrutura é obrigada a expandir ainda mais.”
Os instaladores, explicou o relatório, são distribuídos através da infraestrutura de malware Adrozek, tornando-os difíceis de detectar.
“Cada um desses arquivos é fortemente ofuscado e usa um nome de arquivo exclusivo que segue esse formato: setup_<nome de aplicativo>_<números>.exe”,disse o relatório. “Quando executado, o instalador deixa cair um arquivo .exe com um nome de arquivo aleatório na pasta %temp% . Esse arquivo em drops a carga principal na pasta Arquivos do Programa usando um nome de arquivo que faz parecer um software legítimo relacionado ao áudio.”
Microsoft researchers have found the malware hidden behind file names “Audiolava.exe” and “QuickAudio.exe” which can be found under “Settings>Apps & features,” the report explained.
Polymorphic Malware
Polymorphic malware is programmed to constantly shift and change to avoid detection. And so, once Adrozek has infected a device, it’s tricky to find and root out. For instance, once inside the browser, Adrozek adds malicious scripts to certain extensions, Microsoft found, depending on which browser it encounters.
“In some cases, the malware modifies the default extension by adding seven JavaScript files and one manifest.json file to the target extension’s file path,” the report said. “In other cases, it creates a new folder with the same malicious components.”
Those scripts fetch other scripts which then inject the fake ads, the researchers report. But besides the ads, the malware sends the device information to a remote server.
In yet another polymorphic malware feat, Adrozek changes certain browser DLLs to turn off security controls, the Microsoft team observed. Once inside the browser, attackers can access preferences including default search engine and shift to adjust the DLL accordingly.
Then it’s on to the browser security settings, in the Secure Preferences file.
“O arquivo Preferências Seguras é semelhante na estrutura do arquivo Preferências, exceto que o primeiro adiciona código de autenticação de mensagem baseado em hash (HMAC) para cada entrada no arquivo”, disse o relatório. “Este arquivo também contém uma chave chamada super_mac que verifica a integridade de todos os HMACs. Quando o navegador é iniciado, ele valida os valores do HMAC e o super_mackey calculando e comparando com o HMAC SHA-256 de alguns dos nodas JSON. Se encontrar valores que não correspondem, o navegador redefini a preferência relevante para o seu valor padrão.”
Proliferação e Roubo de Credenciais
Uma vez instalado confortavelmente no dispositivo, o malware desliga as atualizações do navegador e altera a configuração do sistema para manter o controle.
“Ele armazena seus parâmetros de configuração na chave de registro HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\<programName>.” Pesquisadores relataram. “ As entradas ‘tag’ e ‘did’ contêm os argumentos da linha de comando que ele usa para iniciar a carga principal. Variantes mais recentes de Adrozek usam caracteres aleatórios em vez de ‘tag’ ou ‘did’.
Os pesquisadores adicionam o malware e criam um serviço chamado “Serviço Principal”.
Isso deixa o dispositivo no controle de cibercriminosos com a capacidade de entregar anúncios sempre que quiser e fazer alterações a qualquer momento.
Quando se trata de Mozilla Firefox Adrozek tem outro pequeno truque, ele também rouba as credenciais do dispositivo.
“O malware procura palavras-chave específicas, como o nome criptografadousername e encryptedPassword para localizar dados criptografados. Em seguida, ele descriptografa os dados usando a função PK11SDR_Decrypt() dentro da biblioteca firefox e envia-os para os atacantes”, diz o relatório.
Os pesquisadores alertam os usuários afetados a reinstalarem seus navegadores para eliminar a Adrozek de seu sistema.
“A adição de roubo de credenciais do navegador Firefox é uma ferramenta valiosa”, acrescentou Kron. “Os atacantes adoram ter acesso a nomes de usuário e senhas que eles usarão em ataques de credenciais em outras contas, como sites bancários ou de compras. Estes são bem sucedidos porque as pessoas muitas vezes reutilizam a mesma senha para muitas contas diferentes.”
A verdadeira solução, argumenta Kron, é mudar o comportamento do usuário.
“Para se defender disso, os usuários precisam ser educados sobre os perigos da instalação de software a partir de sites não confiáveis e a importância da higiene das senhas, para incluir não reusutar em contas”, disse ele.
FONTE: THREATPOST