[ad_1]

نزدیک به نوار آدرس در مرورگر اینترنت است

مایکروسافت روز پنجشنبه گفت ، یک کارزار بدافزار در حال انجام اینترنت با بدافزارهایی که امنیت مرورگر وب را مخدوش می کند ، پسوندهای مخرب را اضافه می کند و تغییرات دیگری را در رایانه کاربران ایجاد می کند ، منفجر می کند.

Adrozek ، همانطور که سازنده نرم افزار خانواده بدافزار را نامگذاری کرده است ، به شبکه توزیع گسترده ای متشکل از 159 دامنه منحصر به فرد متکی است ، که هرکدام به طور متوسط ​​17300 URL منحصر به فرد را میزبانی می کنند. از طرف دیگر ، URL ها به طور متوسط ​​15300 نمونه منحصر به فرد از بدافزار را میزبانی می کنند. این کارزار حداکثر در ماه مه آغاز شد و در ماه آگوست به اوج خود رسید ، زمانی که بدافزارها از طریق 30،000 دستگاه در روز کنترل می شدند.

این در مورد تقلب در پدر شما نیست

این حمله علیه مرورگرهای Chrome ، Firefox ، Edge و Yandex عمل می کند و همچنان ادامه دارد. در حال حاضر هدف نهایی تزریق تبلیغات به نتایج جستجو است تا مهاجمان بتوانند هزینه های وابسته را دریافت کنند. اگرچه این نوع کمپین معمول است و تهدیدی نسبت به بسیاری از انواع بدافزارها کمتر است ، اما Adrozek به دلیل تغییرات مخربی که در تنظیمات امنیتی و سایر اقدامات مخربی که انجام می دهد ، برجسته است.

محققان تیم تحقیقاتی Microsoft 365 Defender در یک وبلاگ نوشتند: “مجرمان سایبری که از برنامه های وابسته سو abuse استفاده می کنند چیز جدیدی نیستند – اصلاح کننده های مرورگر یکی از قدیمی ترین انواع تهدیدها هستند.” “با این حال ، این واقعیت که این کمپین از برخی بدافزارها استفاده می کند که بر چندین مرورگر تأثیر می گذارد ، نشانگر چگونگی پیچیده بودن این نوع تهدیدها است. علاوه بر این ، بدافزار با حفظ ثبات و نمایش مشخصات کاربری وب سایت ، دستگاه های آسیب دیده را در معرض خطرات اضافی قرار می دهد. “

در این نشریه آمده است که Adrozek “با بارگیری توسط درایو” نصب شده است. نام فایل های نصب کننده از قالب __ setup استفاده می کنند. سابق آنها یک پرونده را در پوشه موقت ویندوز قرار می دهند ، و این پرونده به نوبه خود محموله اصلی را در فهرست پرونده های برنامه قرار می دهد. این محموله از نام پرونده ای استفاده می کند که باعث می شود بدافزار نرم افزاری مرتبط با صدا با نام هایی از جمله Audiolava.exe ، QuickAudio.exe و converter.exe قانونی به نظر برسد. بدافزار به روشی نصب شده است که نرم افزار قانونی است و از طریق تنظیمات> برنامه ها و ویژگی ها قابل دسترسی است و به عنوان یک سرویس ویندوز با همان نام پرونده ثبت می شود.

Adrozek پس از نصب ، چندین تغییر در مرورگر و سیستمی که در آن اجرا می شود ، انجام می دهد. به عنوان مثال ، در Chrome ، بدافزار اغلب تغییراتی در سرویس روتر Chrome Media ایجاد می کند. هدف این است که با استفاده از شناسه هایی مانند Radioplayer ، پسوندهایی را که به عنوان قانونی مبدل می شوند ، نصب کنید.

پسوندهای بد!

افزونه ها برای بازیابی کد اضافی که تبلیغات را به نتایج جستجو تزریق می کند ، به سرور مهاجم متصل می شوند. برنامه های افزودنی همچنین اطلاعات مربوط به رایانه آلوده را به مهاجمان می فرستند و در Firefox همچنین سعی می کند تا مدارک را بدزدد. نرم افزار مخرب همچنان برخی از فایل های DLL را جعل می کند. به عنوان مثال ، در Edge ، بدافزار MsEdge.dll را اصلاح می کند تا کنترل های امنیتی را که به تشخیص تغییرات غیرمجاز در پرونده تنظیمات امن کمک می کند غیرفعال کند.

این تکنیک و همچنین روشهای مشابه برای سایر مرورگرهای آسیب دیده عواقب جدی دارد. از جمله ، پرونده تنظیمات یکپارچگی مقادیر پرونده ها و تنظیمات مختلف را بررسی می کند. با لغو این بررسی ، Adrozek مرورگرها را برای حملات دیگر باز می کند. بدافزار همچنین مجوزهای جدیدی را به پرونده اضافه می کند.

در زیر تصویری از موارد اضافه شده به Edge نشان داده شده است:

مایکروسافت

سپس بدافزار تغییراتی را در تنظیمات سیستم ایجاد می کند تا اطمینان حاصل شود که هر بار که مرورگر دوباره راه اندازی می شود یا رایانه مجدداً راه اندازی می شود ، اجرا می شود. از این به بعد ، Adrozek تبلیغاتی را تزریق می کند که یا با تبلیغات ارائه شده توسط موتور جستجو همراه است یا در آن قرار می گیرد.

در پست روز پنجشنبه به صراحت گفته نشده که در صورت وجود ، تعامل کاربر برای وقوع عفونت لازم است. همچنین مشخص نیست که محافظت های تأثیری مانند کنترل حساب کاربری چه تأثیری دارد. مقامات مایکروسافت به ایمیلی در مورد درخواست جزئیات پاسخ ندادند.

این کمپین برای منفجر کردن صدها هزار نمونه منحصر به فرد از تکنیکی به نام چندشکلی استفاده می کند. این باعث می شود حفاظت از آنتی ویروس مبتنی بر امضا بی اثر باشد. بسیاری از پیشنهادات AV – از جمله Microsoft Defender – دارای کشفیات یادگیری ماشین مبتنی بر رفتار هستند که در برابر چنین بدافزارهایی موثرتر هستند.

[ad_2]

منبع: tarjome-news.ir