恶意软件Adrozek在多个浏览器中以无提示方式将广告注入搜索结果

微软警告了一种名为Adrozek的新恶意软件，该恶意软件会感染设备并通过更改设置，将广告注入搜索结果页面来劫持Chrome，Edge和Firefox浏览器。用户被重定向到欺诈域，在该域中，他们被诱骗安装受污染的软件。

Adrozek至少从2020年5月开始活跃，并且在8月专家每天观察到超过30,000个浏览器。

“如果未检测到并阻止，Adrozek将添加浏览器扩展，为每个目标浏览器修改特定的DLL，并更改浏览器设置以将其他未经授权的广告插入网页，通常是在搜索引擎的合法广告之上。预期的效果是使用户在搜索某些关键字时无意中点击了这些插入了恶意软件的广告，从而导致了相关页面。” 读取 Microsoft发布的报告。“攻击者通过会员广告计划赚钱，该计划通过引用赞助的会员页面的流量来支付。”

该活动突出了多浏览器恶意软件的使用，该恶意软件演示了威胁行为者继续改进其恶意代码。Microsoft 365 Defender研究团队注意到，该恶意软件还能够实现持久性并泄露网站凭据。

微软专家强调了运营商为进行运营所付出的努力，他们跟踪了159个唯一域，每个域平均托管17,300个唯一URL，这些URL继而平均托管了15,300多个唯一，多态恶意软件样本。

该活动仍在进行中，并且上述基础架构继续扩展。

“总体而言，从2020年5月至2020年9月，我们记录了全球数十万次Adrozek恶意软件的遭遇，其中主要集中在欧洲，南亚和东南亚。” 继续报告。

Adrozek恶意软件通过开车下载进行分发，专家们看到159个唯一域用于在2020年5月至2020年9月之间分发了数十万个唯一恶意软件。攻击者高度依赖于多态性来逃避检测。

安装后，Adrozek会对浏览器设置进行多项更改，还对某些浏览器扩展进行了更改，例如适用于Google Chrome的Chrome Media Router。

Adrozek还修改了一些浏览器的DLL文件，以更改浏览器设置并禁用安全功能。

“ Adrozek表明，甚至被认为不是紧急或严重的威胁也越来越复杂。尽管该恶意软件的主要目标是注入广告并将流量引至某些网站，但攻击链涉及复杂的行为，使攻击者可以在设备上获得强大的立足点。凭证盗窃行为的增加表明，攻击者可以扩大目标，以利用他们能够获得的访问权限。” 

原文来自:securityaffairs