Компания Microsoft сообщила о массовой кампании по распространению вредоносного ПО, которое добавляет зловредную рекламу и крадёт учётные данные из браузеров. Кампания касается Google Chrome, Microsoft Edge, Mozilla Firefox и «Яндекс.Браузера».
По данным компании, злоумышленники распространяют семейство модификаторов для браузеров, которое получило название Adrozek, как минимум с мая 2020 года. Эти модификаторы устанавливают определённые расширения и изменяет настройки пользователей. Они направлены в первую очередь на добавление рекламы на веб-страницы при работе в браузерах. Расширения помещают сомнительные ссылки на страницы поиска, куда пользователи переходят, приняв их за настоящие.
Зарабатывают злоумышленники на участии в рекламных партнёрских программах, по которым получают оплату за онлайн-трафик на определённых веб-сайтах. Microsoft уточняет, что помещённая расширением на страницы поиска реклама не ведёт на ресурсы, где размещено вредоносное ПО, однако это может измениться в любой момент.
В Firefox же, помимо добавления ссылок на дополнительную рекламу, зловред сканирует на предмет сохранённых учётных данных и передаёт их мошенникам, сообщают в Microsoft.
В компании отметили, что подобные атаки имели место и раньше, но распространение Adrozek оказалось весьма масштабным — специалисты Microsoft выявили 159 доменов с 17 тысячами URL-адресов на каждом в среднем, ведущих к более чем 15 тысячам полиморфных образцов вредного ПО. Всю эту обширную инфраструктуру злоумышленники использовали для распространения сотен тысяч образцов установщика Adrozek.
Каждый из них использовал уникальное имя файла в формате setup<название приложения><число>.exe. Microsoft пишет, что после запуска он создаёт ещё один exe-файл со случайным названием и помещает его в загрузчик. После этого в Program Files создаётся папка с новым вредоносным ПО. Оно, в свою очередь, выглядит как легальное ПО для работы со звуком — в частности, в Microsoft отметили, что оно принимает названия Audiolava.exe, QuickAudio.exe и converter.exe. Затем зловред изменяет настройки браузера, который выбран в системе по умолчанию.
С мая по сентябрь атакам в рамках этой кампании подверглись сотни тысяч устройств. На пике активности в августе Adrozek фиксировался на более 30 тысячах устройств ежедневно.
