微软警告:新恶意软件一天就能感染逾 3 万台 Windows PC

租用服务器Q78664972 1个月前 (12-13) IDC资讯 54 0
TAGS:
云服务器大促销查看详情
微软近日警告,一个活跃的团伙在发布一款名为Adrozek的新恶意软件,它能劫持浏览器,并窃取用户登录信息。恶意软件在高峰时期每天可以接管30000多个设备。
Adrozek可在受感染的计算机上将广告注入到搜索引擎结果页面中,可以劫持Microsoft Edge、Google Chrome、Yandex Browser和Mozilla Firefox四大浏览器。
该恶意软件使用从幕后团伙控制的服务器下载的恶意脚本,篡改被劫持的Web浏览器的设置和组件后注入广告。
Microsoft 365 Defender研究团队表示:“建议在设备上发现该威胁的最终用户重新安装浏览器。”
“如果未被检测到且未被阻止,Adrozek会添加浏览器扩展,根据目标浏览器篡改特定的DLL,并更改浏览器设置,将其他未经授权的广告插入到网页中,常常附在搜索引擎的合法广告上面。”
微软警告:新恶意软件一天就能感染逾 3 万台 Windows PC-第1张图片-新之洲IDC资讯Adrozek注入的广告
虽然微软尚未找到表明Adrozek被用来通过注入的广告将恶意软件发送到受害者计算机上的证据,但这种情况随时有可能发生。
攻击者可以轻松地改而使用其他恶意有效载荷感染目标,或者将投放恶意软件的渠道出售给其他网络犯罪团伙。
微软补充说:“然而,Adrozek攻击者采用了与其他浏览器修改者同样的方式,即通过联盟广告计划来牟利,这类计划付费给引到某些网站的流量。”
“预期的结果是,搜索某些关键字的用户无意中点击了这些植入恶意软件的广告,从而转到联盟页面。”
“攻击者通过联盟广告计划来牟利,该计划按引到赞助联盟页面的流量来付费。”
受感染的设备成千上万

到目前为止,这次活跃的攻击活动使用了159个域来托管“每个域平均17300个独特的URL”,这些URL向受感染的设备投放15300多个多态恶意软件样本,导致从2020年5月到2020年9月数十万个样本被部署到了受感染的设备上。
看到这次大规模活动仍在继续,每天传播到新计算机上,Adrozek的基础设施仍在壮大,并添加了用于注入新的独特恶意软件有效载荷的新主机域。
微软表示:“分发基础设施也极具动态性。其中一些域仅使用了一天,其他域则使用了更长的时间(长达120天)。”
“值得关注的是,我们看到一些域在分发干净的文件,比如Process Explorer,这可能是攻击者企图提高其域和URL的信誉,并逃避基于网络的保护机制。”
微软警告:新恶意软件一天就能感染逾 3 万台 Windows PC-第2张图片-新之洲IDC资讯Adrozek的地域分布
Adrozek的本领

2020年5月到2020年9月,攻击目标登录到用来发送成千上万个Adrozek样本的159个域中的其中一个域时,Adrozek恶意软件活动背后的攻击者通过路过式下载感染了这些目标。
Adrozek是一种多态恶意软件,还可以逃避检测,这也使其幕后团伙可以轻松地将大量的新样本部署到分发基础设施上。
微软补充道:“虽然许多域托管数以万计的URL,但有几个域有100000多个独特的URL,一个域更是托管了近250000个URL。”
“这个庞大的基础设施反映出了攻击者维持这次攻击活动顺利运作的决心有多强。”
受害者收到了一个严重打乱的恶意可执行文件,该文件被保存在计算机的%temp%文件夹中,该二进制文件随后会投放,将伪装成合法音频软件的主要有效载荷安装到Program Files(程序文件)中。
微软警告:新恶意软件一天就能感染逾 3 万台 Windows PC-第3张图片-新之洲IDC资讯Adrozek攻击流程
Adrozek被安装到设备上之后,将开始添加用于将广告注入到针对其劫持的每款浏览器的多个扩展中的恶意脚本。
该恶意软件将关闭Microsoft Edge及其他基于Chromium的Web浏览器上的安全控制机制,关闭安全浏览模式,并启用隐身模式下的被劫持扩展。
它还将禁用受感染计算机上的浏览器自动更新,以确保被劫持的浏览器组件没有恢复到干净版本。
Adrozek通过添加注册表项并创建一个名为“Main Service”的新Windows服务来永久潜伏起来,以便系统启动时自动启动恶意软件的主要有效载荷。
在安装有Mozilla Firefox的系统上,Adrozek还将从受害者的Firefox配置文件中窃取加密的用户登录信息,然后将解密后的登录信息发送给幕后团伙。
微软总结道:“借助这一额外功能,Adrozek有别于篡改浏览器的其他恶意软件,表明了它不存在所谓的低优先级或非紧急威胁一说。”
“尽管恶意软件的主要目的是注入广告并将流量引至某些网站,但攻击链涉及复杂的行为,从而使攻击者可以在设备上盘踞下来。”

文章来源: 云头条

版权声明:部分文章内容、图片来源于互联网获取,如有侵权请联系删除,发送邮件:server889#qq.com 请将#改为@,我们将第一时间审核处理!

相关推荐

网友评论

  • (*)

最新评论

相关推荐

php源码论坛源码香港vps数据中心西丽机房江阴数据西安机房win7腾讯管家门户整站PHP系统小程序香港服务器服务器租用电影网站SEO迅雷看看装修网站装饰整站系统NAS和服务器香港主机海外服务器香港机柜江阴市云计算数据中心高防服务器deituiCMS得推分类香港服务器cn2香港机房下载网站游戏服务器国外服务器端口描述香港 GIA-VPS宜兴国际数据中心网站服务器linux系统服务器屏蔽网站外贸公司韩国服务器独立服务器韩国高配低价服务器西安高新电信机房大型商城超市PHP专用服务器建设网站采集站网站站群广渠门IDC机房香港CN2CDNDDoS防火墙香港固定IP专线新之洲数据韩国机房CDN加速自动采集免费源码高清壁纸香港美国VPSBGP多线国内服务器黑客攻击访问速度高防云主机本溪市南地IDC机房服务器机房区块链小说网站维护网站西安联通机房服务器托管棋牌游戏棋牌服务器服务器配置企业服务器香港将军澳CN2 VPS北京大兴大族机房BGP服务器硬件网站建设云服务器大连黑石礁机房香港数据中心数据库服务器数据库系统香港云服务器襄阳联通枢纽楼IDC机房广告联盟联盟服务器WSTShop个人网店人才网独立云服务器企业云服务器服务器访问速度中国移动(广东湛江)数据中心交友网站婚恋网站主机网站优化香港日本韩国中国移动安徽(淮南)数据中心小程序服务器衡阳服务器租用