Microsoft tiết lộ phần mềm độc hại Adrozek chiếm quyền điều khiển Chrome, Edge và Firefox

Microsoft tiết lộ phần mềm độc hại Adrozek chiếm quyền điều khiển Chrome, Edge và Firefox

11-12-2020 Lượt xem: 1,088

Microsoft đã lên tiếng cảnh báo về một loại phần mềm độc hại mới xâm nhập vào thiết bị của người dùng rồi tiến hành sửa đổi trình duyệt và cài đặt để đưa quảng cáo vào các trang kết quả tìm kiếm.

Được biết đến với cái tên Adrozek, phần mềm độc hại này đã hoạt động ít nhất từ tháng 5/2020 và đạt đến đỉnh điểm tuyệt đối vào tháng 8 năm nay khi đã kiểm soát hơn 30,000 trình duyệt mỗi ngày.

Tuy nhiên, trong một báo cáo, nhóm nghiên cứu Microsoft 365 Defender tin rằng số lượng người dùng bị phần mềm độc hại xâm nhập còn lớn hơn rất nhiều. Các nhà nghiên cứu của Microsoft cho biết, trong khoảng thời gian từ tháng 5 đến thang 9/2020, họ đã quan sát hàng trăm nghìn phát hiện Adrozek trên toàn cầu.

Dựa trên phép đo từ xa nội bộ, nạn nhân tập trung cao nhất chủ yếu ở châu Âu rồi đến Nam và Đông Nam Á.

Cách Adrozek xâm nhập và hoạt động

Microsoft cho biết, hiện tại phần mềm độc hại được phân phối thông qua các sơ đồ tải xuống từ ổ đĩa cổ điển. Người dùng thường được chuyển hướng từ các trang web hợp pháp đến các miền mờ ám, nơi họ bị lừa cài đặt phần mềm độc hại.

Phần mềm được boobytrapped cài đặt phần mềm độc hại Androzek rồi tiến hành khởi động lại với sự trợ giúp của khóa đăng ký.

Sau khi đảm bảo sự chắc chắn, phần mềm độc hại sẽ tìm kiếm các trình duyệt được cài đặt cục bộ như Microsoft Edge, Google Chrome, Mozilla Firefox hoặc Yandex Browser.

Nếu bất kỳ trình duyệt nào trong số này được tìm thấy trên các máy chủ bị nhiễm, phần mềm độc hại sẽ cố gắng cài đặt một tiện ích mở rộng bằng cách sửa đổi các thư mục AppData của trình duyệt.

Để đảm bảo các tính năng bảo mật của trình duyệt không hoạt động và phát hiện các sửa đổi trái phép, Adrozek cũng sửa đổi một số tệp DLL của trình duyệt để thay đổi cài đặt trình duyệt và tắt các tính năng bảo mật.

Các sửa đổi mà Adrozek thực hiện bao gồm:

  • Tắt cập nhật trình duyệt

  • Tắt kiểm tra tính toàn vẹn của tệp

  • Tắt tính năng duyệt web an toàn

  • Đăng ký và kích hoạt tiện ích mở rộng mà họ đã thêm ở bước trước

  • Cho phép tiện ích mở rộng chạy mà không cần có các quyền thích hợp

  • Ẩn tiện ích mở rộng khỏi thanh công cụ

  • Sửa đổi trang chủ mặc định của trình duyệt

  • Sửa đổi công cụ tìm kiếm mặc định của trình duyệt.

Tất cả điều này được thực hiện để cho phép Adrozek đưa quảng cáo vào trang kết quả tìm kiếm, quảng cáo cho phép băng nhóm phần mềm độc hại thu được lợi nhuận bằng cách hướng lưu lượng truy cập đến các chương trình giới thiệu quảng cáo và lưu lượng truy cập.

Bên trái là kết quả tìm kiếm trên trình duyệt không bị ảnh hưởng và bên phải là quảng cáo bị chèn bởi phần mềm độc hại Adrozek

Microsoft cho biết trên Firefox, Adrozek cũng chứa một tính năng phụ giúp trích xuất thông tin xác thực từ trình duyệt và tải dữ liệu lên máy chủ của kẻ tấn công.

Một hoạt động lớn dự kiến sẽ phát triển hơn nữa

Microsoft cho biết hoạt động của Adrozek cực kỳ phức tạp và được biệt là liên quan đến cơ sở hạ tầng phân phối của nó.

Nhà sản xuất hệ điều hành cho biết họ đã theo dõi 159 miền lưu trữ trình cài đặt Adrozek kể từ tháng 5/2020. Mỗi miền lưu trữ trung bình 17,300 URL được tạo động và mỗi URL lưu trữ hơn 15,300 trình cài đặt Adrozek được tạo động.

Microsoft cũng cho hay: “Trong khi nhiều tên miền lưu trữ hàng chục nghìn URL thì một số ít có hơn 100,000 URL duy nhất với một tên miền lưu trữ gần 250,000. Cơ sở hạ tầng khổng lồ này phản ánh những kẻ tấn công quyết tâm giữ chiến dịch này hoạt động như thế nào. Cơ sở hạ tầng phân phối cũng rất năng động, một số miền chỉ hoạt động trong một ngày trong khi những miền khác hoạt động lâu hơn lên đến 120 ngày”.

Nhìn chung, do việc sử dụng đa hình để liên tục xoay vòng phần mềm độc hại và cơ sở hạ tầng phân phối, Microsoft hy vọng hoạt động của Adrozek sẽ phát triển hơn nữa trong những tháng tới.

Người dùng cuối phát hiện thấy mối đe dọa này trên thiết bị của họ nên đã cài đặt lại trình duyệt của họ.

 

Bài viết liên quan


0913.111111

Chỉ đường

Chat FB

Chat Zalo

0913.111111