Microsoft revela campanha de malware que ataca os principais navegadores
De acordo com a Microsoft, uma campanha de malware em andamento visando os navegadores Google Chrome, Mozilla Firefox, Microsoft Edge e Yandex está atingindo computadores em todo o mundo.
A campanha, ativa desde maio de 2020, foi observada em mais de 30.000 dispositivos diariamente em seu pico de agosto e foi projetada para injetar anúncios em sua página de resultados do mecanismo de pesquisa.
Malware de injeção de anúncios atinge milhares de computadores
Em uma postagem no blog da equipe de pesquisa do Microsoft 365 Defender , a empresa detalhou como havia rastreado o malware desde o início de maio de 2020, observando-o se espalhar pelo mundo.
O tipo de malware é conhecido como Adrozek. A família de malware Adrozek adiciona extensões de navegador, altera as configurações do navegador para injetar anúncios em seus resultados de pesquisa e modifica uma DLL específica para permanecer não detectada.
Se o malware Adrozek não for detectado, ele injetará anúncios acima dos que você espera ver em seu mecanismo de pesquisa. A seguinte imagem da Microsoft ilustra a diferença:
Os anúncios inseridos nos resultados da pesquisa incluem links para sites afiliados, onde o invasor pode ganhar dinheiro com o volume de tráfego enviado para a página ou por meio de cliques na página. Na pior das hipóteses, alguém poderia fazer uma compra direta, revelando questões potencialmente perigosas, como identidade e fraude de cartão de crédito.
Além disso, em alguns navegadores, o Adrozek é mais perigoso. No Mozilla Firefox, Adrozek pode ativar um módulo adicional que permite o roubo de credenciais. Resumindo, ele rouba as senhas armazenadas em seu navegador e as envia ao invasor.
Adrozek concentra-se principalmente na Europa, com outra forte concentração no sul da Ásia e no sudeste da Ásia. De acordo com o relatório da Microsoft, isso é esperado de uma "campanha sustentada e de longo alcance".
A Microsoft rastreou 159 domínios exclusivos, com cada domínio hospedando uma média de 17.300 URLs. Cada URL hospeda uma média de 15.300 amostras polimórficas de malware exclusivas.
Como Adrozek entra em seu sistema?
Algo que diferencia o Adrozek de outro malware semelhante baseado em navegador é o download drive-by.
Nesse caso, um download drive-by se refere ao momento em que o instalador aparece em sua máquina sem exigir que você clique no botão de download ou de outra forma. Quando executado, o instalador baixa um instalador secundário, que por sua vez baixa e instala a carga útil do malware principal.
A carga útil principal carrega um nome de arquivo relacionado ao software de áudio, como "QuickAudio.exe" ou "converter.exe", que ajuda a disfarçá-lo em suas pastas.
Após a instalação, o Adrozek contata seu servidor de controle e começa a modificar as configurações de segurança do navegador.
Os navegadores têm configurações de segurança que os protegem contra a adulteração de malware. O arquivo de Preferências, por exemplo, contém dados confidenciais e configurações de segurança. Os navegadores baseados em Chromium detectam quaisquer modificações não autorizadas nessas configurações por meio de assinaturas e validação em várias preferências.
Adrozek desativa e corrige essas configurações de segurança, bem como desativa as atualizações de segurança do navegador. Também inclui várias funções para ajudar o malware a permanecer em seu sistema, incluindo a criação de seu próprio serviço do Windows.
Como Remover Adrozek
Se você notar que seu navegador exibe anúncios aleatórios ou redirecionando você para sites aleatórios, a primeira coisa a fazer é executar uma verificação de vírus usando seu programa antivírus.
Você também deve considerar a execução de uma verificação secundária usando uma ferramenta como o Malwarebytes, que verificará e removerá todos os tipos de malware do seu sistema. Finalmente, a equipe da Microsoft aconselha os usuários a "reinstalar seus navegadores" para remover qualquer vestígio de malware.
