微软周四表示,正在进行的恶意软件活动正在通过恶意软件轰炸互联网,这些恶意软件无法控制Web浏览器的安全性,添加恶意浏览器扩展以及对用户计算机进行其他更改。
作为软件制造商的恶意软件家族,Adrozek依靠庞大的分销网络,该网络包括159个唯一域,每个域平均托管17,300个唯一URL。这些网址反过来平均会承载15300个唯一的恶意软件样本。这项运动最迟于5月开始,并在8月达到顶峰,当时每天在30,000台设备上观察到该恶意软件。
不是你父亲的会员骗局
该攻击对Chrome,Firefox,Edge和Yandex浏览器有效,并且仍在继续。现在的最终目标是将广告注入搜索结果中,以便攻击者可以从关联企业处收取费用。尽管这些类型的活动很常见,并且比许多类型的恶意软件所构成的威胁要少,但Adrozek脱颖而出是因为它对安全设置和执行的其他恶意操作进行了恶意修改。
Microsoft 365 Defender研究小组的研究人员在博客文章中写道:“滥用联盟计划的网络分子并不新鲜-浏览器修饰符是最古老的威胁类型。” “然而,该活动利用了一种会影响多个浏览器的恶意软件,这一事实表明,这种威胁类型如何继续变得越来越复杂。此外,该恶意软件会保持持久性并泄露网站凭据,从而使受影响的设备面临其他风险。”
该帖子说,Adrozek是“通过直接下载下载”安装的。安装程序文件名使用setup __。exe的格式。攻击者在Windows临时文件夹中删除了一个文件,而该文件又将主要有效内容删除了程序文件目录中。该有效负载使用的文件名使该恶意软件看起来像是与音频有关的合法软件,其名称为Audiolava.exe,QuickAudio.exe和converter.exe。该恶意软件的安装方式与合法软件相同,可以通过“设置”>“应用程序和功能”进行访问,并注册为具有相同文件名的Windows服务。