Adrozek Malware
Adrozek Malware es una nueva cepa de malware que ha sido descubierta por los investigadores del equipo de investigación 365 Defender de Microsoft. En funcionamiento desde al menos mayo de 2020, se cree que la amenaza de malware ha infectado cientos de miles de dispositivos. Las víctimas parecen estar ubicadas en todo el mundo, con los grupos más destacados en Europa, seguidos por el sur y el sudeste de Asia. El alcance de la campaña es impresionante. Los ciberdelincuentes responsables de la amenaza han establecido 159 dominios que albergan instaladores de Adrozek que, en promedio, contenían 17.300 URL generadas dinámicamente cada uno. A su vez, se encontró que cada URL separada albergaba más de 15,300 instaladores de Adrozek generados dinámicamente.
El objetivo amenazante de Adrozek es infectar los dispositivos del usuario, hacerse cargo de su navegador web y luego inyectar anuncios patrocinados en los resultados enumerados para cualquier consulta de búsqueda que genere ganancias monetarias para sus creadores en el proceso. El principal vector de infección utilizado en los ataques de Adrozek son las descargas no autorizadas. Los usuarios están siendo redirigidos desde sitios web legítimos a dominios dudosos que se basan en tácticas manipuladoras y engañosas para engañar a los visitantes para que descarguen software amenazante, actuando como un cuentagotas para Adrozek.
Cuando la carga útil principal se entrega al sistema, establece un mecanismo de persistencia mediante la explotación de las claves de registro. Adrozek luego escaneará el sistema en busca de cuatro navegadores específicos: Microsoft Edge, Google Chrome, Mozilla Firefox y el navegador Yandex. Luego, la amenaza de malware intentará forzar la instalación de una extensión amenazante realizando ciertas modificaciones en la carpeta AppData del navegador específico. Adrozek primero debe deshabilitar las medidas de seguridad integradas del navegador alterando los archivos DLL del navegador para realizar esta tarea. En resumen, el malware deshabilita las actualizaciones del navegador, las verificaciones de integridad de los archivos y la función de navegación segura. Luego, la amenaza moldea el navegador para que se convierta en un entorno adecuado al otorgar a la extensión amenazante privilegios elevados, permitir que se ejecute en modo de incógnito y, finalmente, registrarla y ejecutarla. Para generar tráfico artificial hacia los anuncios mostrados, Adrozek toma prestadas ciertas funciones de secuestrador del navegador: toma el control de la página de inicio y la página de nueva pestaña del navegador afectado. Los usuarios que ejecutan Firefox también estarán expuestos a serios problemas de privacidad a medida que Adrozek implemente, solo para ese navegador, un recopilador de información que puede recolectar y filtrar las credenciales de la cuenta.
