如果你發(fā)現(xiàn)自己的瀏覽器在瀏覽頁面經(jīng)常出現(xiàn)一些“異常”的廣告，那么就要注意可能是電腦無意中下載了惡意軟件。微軟今天警告稱，一種新的惡意軟件會感染用戶的設(shè)備，然后修改瀏覽器及其設(shè)置，目的是偷偷的在搜索結(jié)果頁面中插入廣告。

站長之家了解到，這款惡意軟件命名為Adrozek，至少從2020年5月就開始活躍，并在今年8月達(dá)到峰值，當(dāng)時每天控制著3萬多個用戶的瀏覽器。

在今天的一份報告中，微軟安全研究小組認(rèn)為，遭感染的用戶數(shù)量實(shí)際上要多得多。在2020年5月至9月期間，他們在全球檢測到Adrozek安裝達(dá)“數(shù)十萬”。其中，受害者最集中的地方似乎是歐洲，其次是南亞和東南亞。

具體來說，自2020年5月以來，微軟跟蹤了159個托管Adrozek安裝程序的域名。每個域名平均托管17300個動態(tài)生成的URL，每個URL托管超過15300個動態(tài)生成的Adrozek安裝程序。

微軟表示，目前該惡意軟件是通過經(jīng)典的“釣魚”方式傳播的。黑客將用戶從合法網(wǎng)站重定向到可疑域名，并誘騙他們安裝惡意軟件。

一旦在電腦安裝之后，該惡意軟件將自動識別到本地安裝的瀏覽器，包括微軟 Edge、谷歌Chrome、Mozilla Firefox以及Yandex瀏覽器瀏覽器。

如果在受感染的主機(jī)上發(fā)現(xiàn)上述這些瀏覽器，惡意軟件將試圖通過修改瀏覽器的應(yīng)用程序數(shù)據(jù)文件夾來強(qiáng)制安裝擴(kuò)展。

更狡猾的是，為了確保瀏覽器的安全功能不會啟動并檢測到異常，Adrozek還修改了一些瀏覽器的DLL文件來改變?yōu)g覽器的設(shè)置并禁用安全功能。

Adrozek偷偷篡改的功能包括：

禁用瀏覽器更新

禁用文件完整性檢查

禁用安全瀏覽功能

注冊并激活他們在上一步中添加的擴(kuò)展

允許惡意擴(kuò)展在隱身模式下運(yùn)行

允許在沒有獲得適當(dāng)權(quán)限的情況下運(yùn)行擴(kuò)展

工具欄中隱藏?cái)U(kuò)展

修改瀏覽器的默認(rèn)主頁

修改瀏覽器的默認(rèn)搜索引擎

所有這些小動作最終目的很簡單，都是為了讓Adrozek在搜索結(jié)果頁面中插入廣告，惡意軟件團(tuán)伙通過將流量導(dǎo)向廣告和流量推薦程序，從而獲得收入。

更糟糕的是，在Firefox上，Adrozek還包含一個輔助功能，可以從瀏覽器中提取密碼等憑據(jù)，并將數(shù)據(jù)上傳到攻擊者的服務(wù)器上。

微軟給出解決這個問題的方法建議是，終端用戶如果在他們的設(shè)備上發(fā)現(xiàn)存在這種威脅，那么就重新安裝瀏覽器。至于能不能徹解決問題，官方并未作出具體解釋。
責(zé)編AJX