أصدرت Microsoft تنبيهًا بشأن نوع جديد من البرامج الضارة يسمى الذي Adrozekيمكنه إصابة أجهزة المستخدمين وسرقة البيانات واختطاف المتصفح وتعديل إعداداته لإدخال الإعلانات في صفحات نتائج البحث.
كانت البرمجيات الخبيثة نشطة منذ مايو 2020 على الأقل ووصلت ذروتها في أغسطس من هذا العام ، عندما كانت تسيطر على أكثر من 30 ألف متصفح يوميًا.
يعتقد فريق البحث في Microsoft أن عدد المستخدمين المصابين أعلى بكثير.قال باحثو:
Microsoft بين مايو 2020 وسبتمبر 2020 ، وجدوا الآلاف من إصابات برمجيات Adrozek في جميع أنحاء العالم.
يبدو أن الدولة التي سجلت أكبر عدد من الضحايا هي أوروبا ، تليها جنوب شرق آسيا ، حيث يمكن للبرنامج اختراق Microsoft Edge و Google Chrome و Yandex Browser و Mozilla .Firefox
قالت Microsoft: يتم توزيع البرامج الضارة من خلال أنظمة التنزيل الكلاسيكية ، وعادة ما يتم إعادة توجيه المستخدمين من المواقع الشرعية إلى المجالات المشبوهة لخداعهم لتثبيت برامج ضارة.
بعد اكتمال التثبيت ، سيبحث البرنامج الضار adrozek عن المتصفح المثبت ويحاول فرض تثبيت الامتداد عن طريق تعديل مجلد AppData عندما يعثر على المتصفح.
قام Adrozek بتعديل بعض ملفات DLL الخاصة بالمستعرض لتغيير إعدادات المتصفح ، وتعطيل ميزات أمان المتصفح ، وعدم اكتشاف التعديلات غير المصرح بها.
تشمل التعديلات التي أجراها البرنامج الضار ما يلي:
- تعطيل تحديثات المتصفح.
- تعطيل فحص سلامة الملف.
- تعطيل التصفح الآمن.
- قم بتسجيل وتفعيل الامتداد الذي أضفته.
- السماح بتشغيل المكونات الإضافية الضارة في وضع التخفي.
- اسمح للإضافة بالعمل بدون أذونات مناسبة.
- إخفاء الامتداد من شريط الأدوات.
- تعديل الصفحة الرئيسية للمتصفح الافتراضي.
- تعديل محرك البحث الافتراضي للمتصفح.
- تسمح هذه الخطوات للبرامج الضارة بحقن إعلانات في صفحات نتائج البحث بحيث يمكن لمشغليها الاستفادة من خلال توجيه حركة المرور إلى الإعلانات.
قالت Microsoft: Adrozek يتضمن ميزات إمكانية الوصول التي تعمل من خلال متصفح Firefox، بحيث يستخرج البيانات من المتصفح ويرسلها إلى خادم المهاجم.
حتى الآن ، قامت Microsoft بتتبع 159 نطاقًا يستضيف Adrozek منذ مايو 2020، لذلك يحتوي كل مجال في المتوسط على 17300 عنوان URL فريد يتم إنشاؤه ديناميكيًا ، ويستضيف كل عنوان URL أكثر من 15300 عينة من البرامج الضارة التي يتم إنشاؤها ديناميكيًا.