Вредоносное ПО внедряет рекламу в поисковую выдачу и похищает учетные данные.
Компания Microsoft предупредила о новой вредоносной кампании, нацеленной на пользователей Google Chrome, Microsoft Edge, Mozilla Firefox и Яндекс.Браузер на Windows-ПК. По словам исследователей, как минимум с мая нынешнего года неизвестные киберпреступники распространяют семейство модификаторов для браузеров под названием Adrozek, в основном внедряющих рекламу в страницы поисковой выдачи.
Если вредоносу удается обойти обнаружение и блокировку, он добавляет в браузер расширения, модифицирует DLL атакуемого браузера и его настройки с целью внедрения в web-страницы дополнительной неавторизованной рекламы, которая обычно отображается поверх легитимной рекламы от поисковой системы.
Киберпреступники ожидают, что пользователи, выполняющие поиск в интернете по определенным ключевым словам, непреднамеренно нажмут на вредоносную рекламу, ведущую на аффилированные страницы. Злоумышленники получают прибыль от участия в рекламных партнерских программах, в рамках которых осуществляется оплата за объемы трафика к определенным web-страницам. В настоящее время реклама не ведет на сайты с другим вредоносным ПО, однако, по мнению специалистов, со временем это может измениться.
В Firefox модификатор Adrozek также сканирует устройство пользователя в поисках учетных данных и в случае обнаружения отправляет их киберпреступникам.
Adrozek пытается модифицировать DLL браузеров, в том числе MsEdge.dll в Microsoft Edge, с целью сокрытия изменений в настройках безопасности. В браузерах на базе Chromium вредонос модифицирует механизм проверки целостности хэша. Кроме того, Adrozek добавляет политику, предотвращающую обновление браузеров.
Как отмечают исследователи, подобные тактики и атаки уже встречались в прошлом, но масштабы и сложность данной кампании, в ходе которой злоумышленники атакуют целый ряд браузеров через распределенную инфраструктуру, указывают на то, что атакующие существенно улучшили свои навыки.
Исследователи обнаружили 159 уникальных доменов, и на каждом из них хранится 17,3 тыс. уникальных URL-адресов, ведущих на более 15,3 тыс. уникальных полиморфных образцов вредоносного ПО. Системы специалистов зафиксировали сотни тысяч контактов с Adrozek, в основном в Европе, Южной и Юго-Восточной Азии. В настоящее время кампания еще продолжается.
5778 К? Пф! У нас градус знаний зашкаливает!