如果你發(fā)現(xiàn)自己的瀏覽器在瀏覽頁(yè)面經(jīng)常出現(xiàn)一些“異常”的廣告，那么就要注意可能是電腦無(wú)意中下載了惡意軟件。微軟今天警告稱，一種新的惡意軟件會(huì)感染用戶的設(shè)備，然后修改瀏覽器及其設(shè)置，目的是偷偷的在搜索結(jié)果頁(yè)面中插入廣告。

站長(zhǎng)之家了解到，這款惡意軟件命名為Adrozek，至少?gòu)?020年5月就開(kāi)始活躍，并在今年8月達(dá)到峰值，當(dāng)時(shí)每天控制著3萬(wàn)多個(gè)用戶的瀏覽器。

在今天的一份報(bào)告中，微軟安全研究小組認(rèn)為，遭感染的用戶數(shù)量實(shí)際上要多得多。在2020年5月至9月期間，他們?cè)谌驒z測(cè)到Adrozek安裝達(dá)“數(shù)十萬(wàn)”。其中，受害者最集中的地方似乎是歐洲，其次是南亞和東南亞。

具體來(lái)說(shuō)，自2020年5月以來(lái)，微軟跟蹤了159個(gè)托管Adrozek安裝程序的域名。每個(gè)域名平均托管17300個(gè)動(dòng)態(tài)生成的URL，每個(gè)URL托管超過(guò)15300個(gè)動(dòng)態(tài)生成的Adrozek安裝程序。

微軟表示，目前該惡意軟件是通過(guò)經(jīng)典的“釣魚(yú)”方式傳播的。黑客將用戶從合法網(wǎng)站重定向到可疑域名，并誘騙他們安裝惡意軟件。

一旦在電腦安裝之后，該惡意軟件將自動(dòng)識(shí)別到本地安裝的瀏覽器，包括微軟 Edge、谷歌Chrome、Mozilla Firefox以及Yandex瀏覽器瀏覽器。

如果在受感染的主機(jī)上發(fā)現(xiàn)上述這些瀏覽器，惡意軟件將試圖通過(guò)修改瀏覽器的應(yīng)用程序數(shù)據(jù)文件夾來(lái)強(qiáng)制安裝擴(kuò)展。

更狡猾的是，為了確保瀏覽器的安全功能不會(huì)啟動(dòng)并檢測(cè)到異常，Adrozek還修改了一些瀏覽器的DLL文件來(lái)改變?yōu)g覽器的設(shè)置并禁用安全功能。

Adrozek偷偷篡改的功能包括：

禁用瀏覽器更新

禁用文件完整性檢查

禁用安全瀏覽功能

注冊(cè)并激活他們?cè)谏弦徊街刑砑拥臄U(kuò)展

允許惡意擴(kuò)展在隱身模式下運(yùn)行

允許在沒(méi)有獲得適當(dāng)權(quán)限的情況下運(yùn)行擴(kuò)展

工具欄中隱藏?cái)U(kuò)展

修改瀏覽器的默認(rèn)主頁(yè)

修改瀏覽器的默認(rèn)搜索引擎

所有這些小動(dòng)作最終目的很簡(jiǎn)單，都是為了讓Adrozek在搜索結(jié)果頁(yè)面中插入廣告，惡意軟件團(tuán)伙通過(guò)將流量導(dǎo)向廣告和流量推薦程序，從而獲得收入。

更糟糕的是，在Firefox上，Adrozek還包含一個(gè)輔助功能，可以從瀏覽器中提取密碼等憑據(jù)，并將數(shù)據(jù)上傳到攻擊者的服務(wù)器上。

微軟給出解決這個(gè)問(wèn)題的方法建議是，終端用戶如果在他們的設(shè)備上發(fā)現(xiàn)存在這種威脅，那么就重新安裝瀏覽器。至于能不能徹解決問(wèn)題，官方并未作出具體解釋。
責(zé)編AJX