2020-12-14 16:41:33 來源:OSCHINA搶沙發
2020-12-14 16:41:33 來源:OSCHINA
微軟的 365 Defender 研究小組發出警告稱,至少從 2020 年 5 月開始,一個持續的惡意軟體活動就一直在積極地大規模分發一種進化的瀏覽器修改器惡意軟體。
關鍵詞: 微軟 惡意軟體微軟的 365 Defender 研究小組發出警告稱,至少從 2020 年 5 月開始,一個持續的惡意軟體活動就一直在積極地大規模分發一種進化的瀏覽器修改器惡意軟體。在 8 月份的活動高峰期,其每天可在超過 3 萬臺設備上檢測到該威脅。
不過微軟方面認為,實際上受到感染的用戶數量要多得多。研究人員表示,在 2020 年 5 月至 9 月期間,他們曾在全球範圍內觀察到例如"數十萬 "的 Adrozek 檢測。
該惡意軟體名為 「Adrozek」,通過 drive-by 下載方式安裝到設備上。旨在將廣告注入搜尋引擎結果頁面,可影響微軟 Edge、谷歌 Chrome、Yandex 和 Mozilla Firefox 等多個瀏覽器。
如果沒有被檢測到和阻止,Adrozek 會添加瀏覽器擴展,修改每個目標瀏覽器的特定 DLL,並更改瀏覽器設置,在網頁中插入額外的、未經授權的廣告,通常是在搜尋引擎的合法廣告之上。預期效果是讓用戶在搜索某些關鍵詞時,無意中點擊這些惡意軟體插入的廣告,從而進入關聯網頁。攻擊者通過聯盟廣告計劃賺取利潤,聯盟廣告計劃按轉到贊助的關聯網頁的流量支付費用。
值得注意的是,在 Firefox 上,Adrozek 還包含一個輔助功能,該功能可從瀏覽器中提取憑證並將數據上傳到攻擊者的伺服器。此外,該惡意軟體還能保持持久性,並滲入網站憑證,使受影響的設備面臨更多風險。
微軟方面稱,攻擊者的意圖在於儘可能多地接觸網際網路用戶。其研究表明,受該惡意軟體影響最集中的地方似乎是在歐洲、其次是南亞和東南亞。
微軟指出,Adrozek 的操作非常複雜,尤其是在其分發基礎架構方面。自 2020 年 5 月以來,他們跟蹤了 159 個託管 Adrozek 安裝程序的域。每個域平均託管 17,300 個動態生成的 URL,每個 URL 託管了 15,300 個以上動態生成的 Adrozek 安裝程序。
「雖然許多域名託管了數萬個 URL,但有些域名卻擁有超過 10 萬個 URL,其中一個域名甚至託管了近 25 萬個 URL。這種大規模的基礎設施反映了攻擊者保持這一活動的決心。」
「分發基礎架構也是非常動態的。有些域名只運行了一天,而其他域名的活躍時間更長,最長可達 120 天。」
總而言之,由於其大量使用多態性來不斷輪換其惡意軟體有效載荷和分發基礎架構,微軟預計 Adrozek 行動將在未來幾個月內進一步增長。該公司建議已被 Adrozek 感染的用戶重新安裝其瀏覽器。
第三十二屆CIO班招生 法國布雷斯特商學院碩士班招生 北達軟EXIN網絡空間與IT安全基礎認證培訓 北達軟EXIN DevOps Professional認證培訓責編:zhangwenwen