11 December 2020

В Сети развернута охота на популярные браузеры. В опасности пользователи Chrome, Firefox, «Яндекс.браузера» и MS Edge

Microsoft обнаружила кампанию по распространению вируса, встраивающегося в браузеры и демонстрирующего рекламу в результатах поиска. Он атакует пользователей «Яндекс.браузер», Chrome, Edge, а в Firefox в дополнение к рекламе еще и ворует логины и пароли.[CNews]

Мощная хакерская атака

Корпорация Microsoft выявила новую вредоносную кампанию, нацеленную против пользователей самых популярных браузеров. В рамках этой кампании киберпреступники массово распространяют Adrozek – семейство вредоносных программ, представляющих собой модификаторы к обозревателям и встраивающих в них назойливую рекламу.

Adrozek отслеживает наличие на ПК браузеров Microsoft Edge, Google Chrome и Mozilla Firefox. Под угрозой также и пользователи, предпочитающие отечественный «Яндекс.браузер», говорится в отчете Microsoft. Почему хакеров интересуют только эти программы, на момент публикации материала известно не было.

Например, в России Chrome и «Яндекс.браузер» входят в тройку лидеров по популярности среди пользователей настольных ПК и ноутбуков – по статистике StatCounter на ноябрь 2020 г., Chrome удерживал 58,21% рынка и был на первом месте, а обозреватель «Яндекса» – на втором с результатом 16,44%. Firefox занимал четвертую строчку с 7,49%, уступая Opera с 7,57%. Edge от Microsoft не входил даже в топ-5 – на пятом месте был Apple Safari (5,88%), а Edge делил со всеми остальными браузерами оставшиеся 4,42%.

Как работает ПО

После успешного запуска на компьютере жертвы программы семейства Adrozek ищут нужные им браузеры и фоновом режиме скачивают для них специальные расширения, выводящие рекламу прямо поверх поисковой выдачи. Главный расчет на то, что пользователь нажмет на рекламную ссылку – злоумышленники участвуют в различных партнерских рекламных продажах и получают деньги за пользовательские клики и переходы на страницу.

Нормальная поисковая выдача (слева) и результат поиска на зараженном ПК

После установки на ПК малварь может маскироваться под программы с названием QuickAudio.exe, Audiolava.exe или Converter.exe. При обнаружении браузера Edge вирус пытается модифицировать библиотеку MsEdge.dll, чтобы скрыть следы своего нахождения в составе браузера и отключения настроек безопасности. В Chrome и «Яндекс.браузере» он модифицирует алгоритм проверки целостности хэша, тем самым не давая себя обнаружить.

Одна из маскировок вируса

В дополнение к перечисленному вирус Adrozek отключает функцию обновления браузеров, чтобы при установке более свежей версии он не был обнаружен. Что касается Firefox, то его пользователи не только получают рекламу в поисковой выдаче, но и рискуют без своего на то согласия отправить злоумышленникам свои персональные данные. Малварь сканирует ПК в поимках логинов и паролей и отсылает их киберпреступникам.

Что может грозить пользователям

Помимо ненужной рекламы и возможной утечки персональных данных, пользователи, подхватившие Adrozek на свой ПК, рискуют заразить его множеством других вирусов, червей и троянов. По данным Microsoft, при клике на «хакерскую» рекламу пользователь перенаправляется на аффилированные сайты, закупившие рекламу у мошенников, но в будущем вместо них могут открываться ресурсы, кишащие другим вредоносным ПО.

Статистика популярности браузеров в России

В Microsoft отмечают, что кампания по распространению вирусов Adrozek не является первой в своем роде, но по своим масштабам она опережает все предыдущие. По словам специалистов компании, малварь связана с ботнетом, включающим около 160 доменов, и каждый из них содержит свыше 17,3 тыс. уникальных URL-адресов. Эти адреса ведут на более 15,3 тыс. различных вирусов.

micro604.jpg

У хакеров есть определенные территориальные предпочтения для проведения атаки

По данным Microsoft, кампания по распространению Adrozek началась в мае 2020 г. и продолжается до сих пор, хотя ее пик пришелся на лето 2020 г. Предварительные подсчеты гласят, что за этот период вирус попытался проникнуть на несколько сотен тысяч устройств по всему миру. Больше всего пострадавших проживают в Европе, Южной и Юго-Восточной Азии.

Как защититься

В качестве меры защиты от Adrozek Microsoft предложила вовремя обновлять установленное антивирусое ПО, не забыв добавить, что встроенный в Windows 10 «Защитник Windows» уже умеет определять вирусы этого семейства. Если в случае проверки ПК выяснится, что Adrozek все же проник в систему, то после его удаления следует обязательно переустановить браузер, поскольку вирус вносит в него изменения, которые в будущем могут отразиться на его дальнейшей работе.