Adrozek, o malware de navegador que injeta links e anúncios

gurinho

Descobriu um novo malware, ou melhor, uma nova família de malware: chama-se Adrozek e infecta navegadores por meio de anúncios .

O anúncio foi feito pela equipe de pesquisadores de segurança da Microsoft, que há poucos dias divulgou um comunicado oficial sobre o funcionamento do malware . O software afeta os principais navegadores e está ativo desde maio passado.

Adrozek: o malware que assusta os navegadores

O aviso da Microsoft é sobre uma nova "variedade" de malware que introduz anúncios não solicitados nos resultados de pesquisa.

O malware Adrozek, por meio de extensões maliciosas, modifica as especificações e configurações de DLL para modificar os resultados do mecanismo de pesquisa e injetar anúncios , na forma de links não oficiais e não seguros.

Procura por um navegador infectado com o malware Adrozek. Créditos: Microsoft
Procura por um navegador infectado com o malware Adrozek. Créditos: Microsoft

Se um usuário clica em um dos links, ele acaba em uma página "afiliada" aos criadores do malware, que ganham graças ao tráfego gerado para os patrocinadores. No caso do Adrozek, a ameaça afeta vários navegadores, atingindo mais usuários. Na verdade , encontramos Edge, Chrome, Firefox e Yandex, enquanto o Safari parece estar imune .

Por trás do malware e afiliados estão 159 domínios, cada um compreendendo 17.300 URLs de publicidade exclusivos. O software malicioso existe desde maio de 2020 e atingiu o pico em agosto, controlando mais de 30.000 dispositivos em todo o mundo. Adrozek se espalhou mais pela Europa e sul da Ásia.

Mapa de difusão de Adrozek. Créditos: Microsoft
Mapa de difusão de Adrozek. Créditos: Microsoft

Como isso afeta Adrozek

A equipe de pesquisadores da Microsoft anunciou que o Adrozek é instalado por download drive-by, ou seja, sem o consentimento do usuário e sem clicar em qualquer botão de download. Em alguns casos, o malware é baixado quando você clica em um alerta de segurança, enquanto na maioria das vezes é suficiente navegar em um site para ser infectado, sem realizar nenhuma ação.

O malware atua principalmente nas extensões padrão do navegador, adicionando scripts maliciosos que, ao se conectar ao servidor do atacante, baixam os scripts responsáveis ​​por injetar os anúncios no lugar dos principais resultados.

Extensões de navegador antes e depois do ataque. Créditos: Microsoft
Extensões de navegador antes e depois do ataque. Créditos: Microsoft

Bibliotecas DLL também são afetadas: por exemplo, no Edge (e em todos os navegadores baseados em Chromium ), o malware modifica o MsEdge.dll e desabilita as verificações de segurança nos arquivos de preferência do navegador. Esses arquivos contêm configurações do usuário, dados confidenciais e preferências de pesquisa para a página inicial e o mecanismo padrão.

No Firefox, o problema também se estende às credenciais: o Adrozek é de fato capaz de roubar as informações do usuário conectado graças a um arquivo .exe adicional e enviá-las ao invasor. O malware procura por palavras-chave como criptografadoUsuário e criptografadoPassword , identifica onde eles estão e por meio da função PK11SDR_Decrypt () , os descriptografa e os envia para o servidor do hacker.

O arquivo que contém as credenciais roubadas do usuário. Crédito: Microsoft
O arquivo que contém as credenciais roubadas do usuário. Crédito: Microsoft

Adrozek também pode modificar as políticas de atualização automática do navegador para bloquear as atualizações. Atualizar seu navegador significa eliminar o malware e a ameaça.

Como se proteger

Se você foi atacado por malware, a primeira coisa a fazer é reinstalar o navegador e excluir todos os arquivos de instalação duvidosos do PC.

Para evitar a propagação do Adrozek, no entanto, as mesmas regras sempre se aplicam: não instale software não oficial, não clique em links ou alertas suspeitos ou em anúncios duvidosos e tenha um software de proteção de computador ativo.

O artigo Adrozek, malware de navegador que injeta links e anúncios, vem da Tech CuE .