Una campaña de malware en curso está inundando Internet con malware que neutraliza la seguridad de los navegadores web, agrega extensiones de navegador maliciosas y realiza otros cambios en las computadoras de los usuarios, dijo Microsoft el jueves.
Adrozek, como el fabricante de software ha llamado a la familia de malware, se basa en una red de distribución en expansión que comprende 159 dominios únicos, cada uno de los cuales aloja un promedio de 17 300 URL únicas. Las URL, a su vez, albergan un promedio de 15 300 muestras únicas de malware. La campaña comenzó a más tardar en mayo y alcanzó su punto máximo en agosto, cuando se observó el malware en 30 000 dispositivos por día.
No es la estafa de afiliados de tu padre
El ataque funciona contra los navegadores Chrome, Firefox, Edge y Yandex, y continúa. El objetivo final por ahora es inyectar anuncios en los resultados de búsqueda para que los atacantes puedan cobrar tarifas a los afiliados. Si bien este tipo de campañas son comunes y representan una amenaza menor que muchos tipos de malware, Adrozek se destaca por las modificaciones maliciosas que realiza en la configuración de seguridad y otras acciones maliciosas que realiza.
“Los ciberdelincuentes que abusan de los programas de afiliados no son nuevos: los modificadores del navegador son algunos de los tipos de amenazas más antiguos”, escribieron los investigadores del Equipo de investigación de Microsoft 365 Defender en una publicación de blog. “Sin embargo, el hecho de que esta campaña utilice una pieza de malware que afecta a múltiples navegadores es una indicación de cómo este tipo de amenaza continúa siendo cada vez más sofisticado. Además, el malware mantiene la persistencia y extrae las credenciales del sitio web, exponiendo los dispositivos afectados a riesgos adicionales”.
La publicación decía que Adrozek se instala «a través de una descarga automática». Los nombres de archivo del instalador usan el formato de setup__.exe. Los atacantes colocan un archivo en la carpeta temporal de Windows y este archivo, a su vez, coloca la carga útil principal en el directorio de archivos del programa. Esta carga utiliza un nombre de archivo que hace que el malware parezca un software legítimo relacionado con el audio, con nombres como Audiolava.exe, QuickAudio.exe y converter.exe. El malware se instala de la misma manera que el software legítimo y se puede acceder a él a través de Configuración> Aplicaciones y características y se registra como un servicio de Windows con el mismo nombre de archivo.
El siguiente gráfico muestra la cadena de ataque de Adrozek:
Una vez instalado, Adrozek realiza varios cambios en el navegador y el sistema en el que se ejecuta. En Chrome, por ejemplo, el malware a menudo realiza cambios en el servicio Chrome Media Router. El propósito es instalar extensiones que se hacen pasar por legítimas mediante el uso de identificaciones como «Radioplayer».
¡Malas extensiones!
Las extensiones se conectan al servidor del atacante para obtener código adicional que inyecta anuncios en los resultados de búsqueda. Las extensiones también envían a los atacantes información sobre la computadora infectada y, en Firefox, también intenta robar las credenciales. El malware continúa manipulando ciertos archivos DLL. En Edge, por ejemplo, el malware modifica MsEdge.dll para que desactive los controles de seguridad que ayudan a detectar cambios no autorizados en el archivo de Preferencias seguras.
Esta técnica, y otras similares para otros navegadores afectados, tiene consecuencias potencialmente graves. Entre otras cosas, el archivo de preferencias comprueba la integridad de los valores de varios archivos y configuraciones. Al anular esta verificación, Adrozek abre los navegadores a otros ataques. El malware también agrega nuevos permisos al archivo.
A continuación se muestra una captura de pantalla que muestra los agregados a Edge:
microsoft
Luego, el malware realiza cambios en la configuración del sistema para garantizar que se ejecute cada vez que se reinicia el navegador o la computadora. A partir de ese momento, Adrozek inyectará anuncios que acompañarán a los anuncios publicados por un motor de búsqueda o se colocarán encima de ellos.
La publicación del jueves no dice explícitamente qué interacción del usuario, si es que se requiere alguna, se requiere para que ocurran las infecciones. Tampoco está claro qué efecto tienen las defensas como el Control de cuentas de usuario. Microsoft no menciona el ataque que afecta a los navegadores que ejecutan macOS o Linux, por lo que es probable que esta campaña afecte solo a los usuarios de Windows. Los representantes de Microsoft no respondieron a un correo electrónico solicitando detalles.
La campaña utiliza una técnica llamada polimorfismo para generar cientos de miles de muestras únicas. Eso hace que la protección antivirus basada en firmas sea ineficaz. Muchas ofertas de AV, incluido Microsoft Defender, tienen detecciones basadas en el comportamiento y basadas en aprendizaje automático que son más efectivas contra dicho malware.
