Adrozek Malware

Die Adrozek-Malware ist eine neue Malware-Sorte, die von den Forschern des 365 Defender Research-Teams von Microsoft entdeckt wurde. Es wird angenommen, dass die Malware-Bedrohung seit mindestens Mai 2020 Hunderttausende von Geräten infiziert hat. Die Opfer scheinen sich weltweit zu befinden, wobei sich die bekanntesten Cluster in Europa befinden, gefolgt von Süd- und Südostasien. Der Umfang der Kampagne ist beeindruckend. Die für die Bedrohung verantwortlichen Cyberkriminellen haben 159 Domänen eingerichtet, in denen Adrozek-Installationsprogramme gehostet werden, die durchschnittlich jeweils 17.300 dynamisch generierte URLs enthielten. Es wurde festgestellt, dass jede separate URL mehr als 15.300 dynamisch generierte Adrozek-Installationsprogramme hostet.

Das bedrohliche Ziel von Adrozek besteht darin, die Geräte der Benutzer zu infizieren, ihren Webbrowser zu übernehmen und dann gesponserte Werbung in die aufgelisteten Ergebnisse für Suchanfragen einzufügen, um Geldgewinne für die Urheber zu erzielen. Der Hauptinfektionsvektor, der bei Adrozek-Angriffen verwendet wird, sind Drive-by-Downloads. Benutzer werden von legitimen Websites zu zweifelhaften Domänen umgeleitet, die auf manipulativen und betrügerischen Taktiken beruhen, um Besucher dazu zu bringen, bedrohliche Software herunterzuladen, die als Dropper für Adrozek fungiert.

Wenn die Hauptnutzlast an das System geliefert wird, wird ein Persistenzmechanismus eingerichtet, indem Registrierungsschlüssel ausgenutzt werden. Adrozek scannt dann das System nach vier bestimmten Browsern - Microsoft Edge, Google Chrome, Mozilla Firefox und dem Yandex-Browser. Die Malware-Bedrohung versucht dann, eine bedrohliche Erweiterung zu erzwingen, indem bestimmte Änderungen am AppData-Ordner des jeweiligen Browsers vorgenommen werden. Adrozek muss zuerst die integrierten Sicherheitsmaßnahmen des Browsers deaktivieren, indem die DLL-Dateien des Browsers manipuliert werden, um diese Aufgabe auszuführen. Kurz gesagt, die Malware deaktiviert alle Browser-Updates, Dateiintegritätsprüfungen und die Funktion zum sicheren Durchsuchen. Die Bedrohung formt den Browser dann zu einer geeigneten Umgebung, indem der bedrohlichen Erweiterung erhöhte Berechtigungen erteilt werden, damit sie im Inkognito-Modus ausgeführt und schließlich registriert und ausgeführt werden kann. Um künstlichen Traffic für die angezeigten Anzeigen zu generieren, leiht Adrozek bestimmte Browser-Hijacker-Funktionen aus - es übernimmt die Kontrolle über die Homepage und die neue Registerkarte des betroffenen Browsers. Benutzer, die Firefox ausführen, sind auch schwerwiegenden Datenschutzproblemen ausgesetzt, da Adrozek nur für diesen Browser einen Infosammler bereitstellt, der Kontoanmeldeinformationen sammeln und herausfiltern kann.