12月10日，微軟發布了Adrozek 惡意軟件的分析報告，該惡意軟件可以感染用戶設備，然后xiu給瀏覽器和瀏覽器設置，以注入廣告到搜索結果頁面中。

Adrozek 惡意軟件自2020年5月開始活躍，在8月達到峰值，每天控制超過3萬個瀏覽器。微軟報告顯示受感染的用戶數更多。微軟稱，2020年 5月-9月，全球檢測到的Adrozek檢測量就超過10萬。受害者主要位于歐洲、南亞和東南亞。

Adrozek受害者分布

ADROZEK工作原理和分布

當前，惡意軟件主要是通過經典的drive-by下載方案。用戶會從合法網站重定向到誘使安裝惡意軟件的域名。陷阱軟件會安裝Androzek惡意軟件，然后在注冊表的幫助下實現重啟后的駐留。

一旦完成駐留，惡意軟件就會尋找本地安裝的瀏覽器，比如微軟Edge、谷歌Chrome、Mozilla Firefox或Yandex 瀏覽器。如果在受感染的機器上發現了以上任意一款瀏覽器，惡意軟件就會通過修改瀏覽器的AppData 文件夾來強制安裝一個擴展。

為了確保瀏覽器的安全特征不會起作用和檢測這些未授權的修改，Adrozek 會修改瀏覽器的一些DLL文件來修改瀏覽器的設置和禁用安全特征。

Adrozek做的修改包括：

· 禁用瀏覽器更新;

· 禁用文件完整性檢查;

· 禁用安全瀏覽特征;

· 注冊和激活上一步添加的擴展;

· 允許惡意擴展在隱身模式下運行;

· 允許擴展來沒有獲得適當權限的情況下運行;

· 從工具欄隱藏擴展;

· 修改瀏覽器的默認主頁;

· 修改瀏覽器的默認搜索引擎。

以上操作的目的是允許Adrozek將廣告注入到搜索結果頁面中，惡意軟件可以通過廣告的流量來獲利。

Adrozek搜索結果比較

微軟稱在Firefox上，Adrozek還有一個可以從瀏覽器竊取憑證和上傳數據到攻擊者服務器的特征。

Adrozek活動預測

Microsoft 稱Adrozek攻擊活動是非常復雜的，尤其是分發基礎設施。研究人員追蹤了2020年5月開始Adrozek安裝包存放的159個域名發現，每個域名平均保存17300個動態生成的URL，每個URL有超過15300個動態生成的Adrozek 安裝器。大規模基礎設施也反映了攻擊者保持攻擊活動運行的決心。分發基礎設施也是動態的，其中一些域名活動時間只有1天，其他的一些域名活動時間長達120天。

根據惡意軟件payload和分發基礎設施，研究人員預測Adrozek攻擊活動會在未來幾個月繼續增長。研究人員建議受感染的用戶重新安裝其瀏覽器。

更多細節參見：https://www.microsoft.com/security/blog/2020/12/10/widespread-malware-campaign-seeks-to-silently-inject-ads-into-search-results-affects-multiple-browsers/

本文翻譯自：https://www.zdnet.com/article/microsoft-exposes-adrozek-malware-that-hijacks-chrome-edge-and-firefox/如若轉載，請注明原文地址。