В интернете обнаружили атаку, которая нацелена на популярные браузеры. Используются расширения для них и вносятся изменения в компьютеры пользователя, рассказала Microsoft на этой неделе.

Семейство вредоносных приложений называется Adrozek и распространяется через 159 уникальных доменов, каждый из которых в среднем содержит 17300 уникальных URL-адресов. Каждый из этих адресов содержит в среднем 15300 уникальных образца вредоносного кода. Кампания по их распространению началась как минимум в мае и достигла своего пика в августе, когда установка выполнялась на примерно 30000 компьютеров в день.

Атака проводится против браузеров Chrome, Firefox, Edge и Yandex, в том числе и в настоящее время. Целью является внедрение рекламы в результаты поисковых запросов и заработок на этом. Это не самая опасная угроза, но Adrozek вносит изменения в настройки безопасности и производит другие неприятные действия. Например, могут собираться данные на вход в учётные записи разных сайтов.

Используется установщик с названием вида setup__.exe. Файл попадает во временную папку Windows и загружает основное приложение в папку Program Files. Там оно скрывается под видом программного обеспечения для аудио вроде Audiolava.exe, QuickAudio.exe, converter.exe. Вредоносная программа устанавливается как любая другая и её можно увидеть в Параметры > Приложения и возможности и как зарегистрированный сервис Windows с таким же названием.

После установки вносятся несколько изменений в браузер и операционную систему. В браузере Chrome меняется сервис Chrome Media Router для установки расширений, которые выглядят как надёжные.

Расширения подключаются к серверу злоумышленников для получения дополнительных инструкций и внедрения рекламы в результаты поиска. Отправляется информация о заражённом компьютере, а на Firefox вирус пытается украсть логины и пароли. Также ведётся работа с некоторыми файлами DLL. На браузере Edge вносятся изменения в MsEdge.dll, чтобы отключались элементы безопасности для обнаружения неавторизованных изменений в файле Secure Preferences. Этот файл может проверять целостность значения разных файлов и настроек. Отключив эту проверку, вирус открывает браузер для других атак. Также к файлу добавляются различные разрешения. Вносятся изменения в системные настройки, чтобы вирус запускался при каждом запуске браузера и компьютера.

Из записи в блоге непонятно, должен ли пользователь что-то делать, чтобы вирус попал на компьютер. Ничего не сообщается об атаках на Linux или macOS, так что пострадать могли только пользователи Windows. Такой метод называется полиморфизм и он делает неэффективной антивирусную защиту на основе подписей. В подобных случаях применяется обнаружение на основе анализа поведения при помощи машинного обучения.