Según ha alertado Microsoft una nueva campaña llamada Adrozek,
forma en la que han decidido llamar el equipo de investigación de Microsoft Defender,
está afectando a los principales navegadores web. La campaña está inyectado
sigilosamente malware en los resultados de búsqueda de los navegadores con el
objetivo de ganar dinero mediante programas publicitarios de marketing de afiliados.
Adrozek está utilizando en estos momentos 159 dominios únicos,
en cada uno de ellos se albergan unas 17.300 URL únicas, las cuales contienen más
of 15.300 muestras de malware único, tener en cuenta que está campaña utiliza
una infraestructura de ataque dinámica y expansiva, esto indica que en
cualquier momento podrían aumentar los dominios y/o URL únicas.
El objetivo principal de la campaña es el de insertar anuncios
adicionales no autorizados en los primeros resultados de los motores de
búsqueda, intentando de esta forma que el usuario realice un clic en uno de
estos anuncios sin darse cuenta. La campaña está afectando a los navegadores
Microsoft Edge, Yandex Browser, Google Chrome y Mozilla Firefox para Windows.
Según ha informado Microsoft está campaña está activa desde
mayo de este año, siendo agosto el mes con más dispositivos afectados, more than
30.000 Devices. Adrozek agrega extensiones de navegador, modifica una DLL
especifica e inserta anuncios adicionales no autorizados mediante la
modificación de la configuración del navegador, en algunos casos estos anuncios
están sumados a los legítimos.
Tras la inyección por parte de Adrozek comienza a modificar
la configuración del navegador y controles de seguridad, estos cambios son
realizados con la finalidad de instalar complementos maliciosos que se hacen
pasar por legítimos al reutilizar las IDs de extensiones legítimas.
Lo que se busca en esta campaña es que el usuario infectado
al realizar una búsqueda con ciertas palabras clave, haga clic sin darse cuenta
en uno de estos anuncios con malware. Los atacantes gracias a programas publicitarios
de marketing de afiliados ganan dinero, en estos programas pagan por la
cantidad de tráfico generada a las páginas afiliadas.
El malware deshabilita la función de integridad para evitar
manipulación que utilizan los navegadores actuales, permitiendo de este modo a
los atacantes eludir las defensas de seguridad explotando de esta forma las extensiones.
En el navegador Mozilla Firefox Adrozek además de lo
anteriormente mencionado, roba credenciales y filtrar los datos a servidores
controlados por atacantes.