Una diffusa campagna di malware cerca di iniettare silenziosamente annunci nei risultati di ricerca ed interessa piรน browser per introdurre pubblicitร non volute tra i risultati delle ricerche. ย Gli utenti vengonoย reindirizzati da siti legittimi a domini poco sicuri dove vengono ingannati per installare il software dannoso. Come soluzione si ha a disposizione solo la reinstallazione del browser.
Ecco il testo completo dell’articolo tradotto con google :
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Una campagna malware persistente ha distribuito attivamente un malware modificatore del browser evoluto su larga scala almeno da maggio 2020. Al suo apice in agosto, la minaccia รจ stata osservata su oltre 30.000 dispositivi ogni giorno.ย Il malware รจ progettato per iniettare annunci nelle pagine dei risultati dei motori di ricerca.ย La minaccia colpisce piรน browser –ย Microsoft Edge, Google Chrome, Yandex Browser e Mozilla Firefox –ย esponendo l’intenzione degli aggressori di raggiungere il maggior numero possibile di utenti Internet.
Chiamiamo questa famiglia di modificatori del browser Adrozek.ย Se non viene rilevato e bloccato, Adrozek aggiunge estensioni del browser, modifica una DLL specifica per browser di destinazione e cambia le impostazioni del browser per inserire annunci aggiuntivi e non autorizzati nelle pagine web, spesso in aggiunta ad annunci legittimi dei motori di ricerca.ย L’effetto previsto รจ che gli utenti, alla ricerca di determinate parole chiave, facciano clic inavvertitamente su questi annunci inseriti da malware, che portano a pagine affiliate.ย Gli aggressori guadagnano attraverso programmi pubblicitari di affiliazione, che pagano in base alla quantitร di traffico riferito a pagine affiliate sponsorizzate.
Figura 1. Confronto delle pagine dei risultati di ricerca su una macchina interessata e una con Adrozek in esecuzione.
I criminali informatici che abusano dei programmi di affiliazione non sono una novitร : iย modificatori del browser sono alcuni dei tipi di minacce piรน vecchi. Tuttavia, il fatto che questa campagna utilizzi un malware che colpisce piรน browser รจ un’indicazione di come questo tipo di minaccia continui ad essere sempre piรน sofisticato. Inoltre, il malware mantiene la persistenza ed esfiltra le credenziali del sito Web, esponendo i dispositivi interessati a rischi aggiuntivi.
Una campagna cosรฌ sostenuta e di vasta portata richiede un’infrastruttura per gli aggressori ampia e dinamica.ย Abbiamo monitorato 159 domini univoci, ciascuno contenente una media di 17.300 URL univoci, che a loro volta ospitano in media piรน di 15.300 campioni di malware unici e polimorfici.ย In totale, da maggio a settembre 2020, abbiamo registrato centinaia di migliaia di incontri del malware Adrozek in tutto il mondo, con forte concentrazione in Europa e in Asia meridionale e sud-est asiatico.ย Poichรฉ questa campagna รจ in corso, questa infrastruttura รจ destinata ad espandersi ulteriormente.
Figura 2. Distribuzione geografica degli incontri di Adrozek da maggio a settembre 2020.
La protezione efficace da campagne dilaganti e persistenti come questa che incorporano piรน componenti, polimorfismo e comportamenti malware evoluti richiede un rilevamento e una visibilitร avanzati e basati sul comportamento attraverso l’intera catena di attacco piuttosto che componenti specifici.ย Microsoft Defender Antivirusย , la soluzione di protezione degli endpoint integrata in Windows 10, blocca questa minaccia utilizzando protezioni basate sul comportamento e basate sull’apprendimento automatico.ย Per le imprese,Microsoft 365Defenderย offre una visibilitร approfondita sui comportamenti dannosi.ย In questo blog condivideremo la nostra analisi approfondita di questa campagna, inclusa l’architettura di distribuzione e il comportamento del malware, e forniremo le difese consigliate.
Intermezzo promozionale ... continua la lettura dopo il box:
Infrastruttura di distribuzione
Il malware Adrozek viene installato sui dispositivi tramite download drive-by.ย Nel nostro monitoraggio della campagna Adrozek da maggio a settembre 2020, abbiamo visto 159 domini unici utilizzati per distribuire centinaia di migliaia di campioni di malware unici.ย Gli aggressori hanno fatto molto affidamento sul polimorfismo, che consente agli aggressori di sfornare enormi volumi di campioni e di eludere il rilevamento.
Sebbene molti dei domini ospitassero decine di migliaia di URL, alcuni avevano piรน di 100.000 URL univoci, con uno che ne ospitava quasi 250.000.ย Questa imponente infrastruttura riflette quanto siano determinati gli aggressori a mantenere operativa questa campagna.
Figura 3. Numero di URL e numero di file ospitati su domini Adrozek con almeno 100 file.
Anche l’infrastruttura di distribuzione รจ molto dinamica.ย Alcuni dei domini erano attivi solo per un giorno, mentre altri erano attivi piรน a lungo, fino a 120 giorni.ย ร interessante notare che abbiamo visto alcuni dei domini distribuire file puliti come Process Explorer, probabilmente un tentativo degli aggressori di migliorare la reputazione dei loro domini e URL ed eludere le protezioni basate sulla rete.
Installazione
Gli aggressori utilizzano questa vasta infrastruttura per distribuire centinaia di migliaia di esempi di installazione di Adrozek unici.ย Ciascuno di questi file รจ fortemente offuscato e utilizza un nome file univoco che segue questo formato:ย setup_ <nome applicazione> _ <numeri> .exeย .
Figura 4. Catena di attacchi di Adrozek
Quando viene eseguito, il programma di installazione rilascia un file .exe con un nome file casuale nella cartella% temp%.ย Questo file rilascia il payload principale nella cartella Programmi utilizzando un nome file che lo fa sembrare un software legittimo relativo all’audio.ย Abbiamo osservato che il malware utilizza vari nomi comeย Audiolava.exeย ,ย QuickAudio.exeย eย converter.exeย .ย Il malware viene installato come un normale programma a cui รจ possibile accedere tramiteย Impostazioni> App e funzionalitร ย e registrato come servizio con lo stesso nome.
Figura 5. Adrozek installato come un programma a cui รจ possibile accedere tramite l’impostazione App e funzionalitร
Modifica dei componenti del browser
Una volta installato, Adrozek apporta piรน modifiche alle impostazioni e ai componenti del browser.ย Queste modifiche consentono al malware di iniettare annunci nelle pagine dei risultati dei motori di ricerca.
Estensioni
Il malware apporta modifiche a determinate estensioni del browser.ย Su Google Chrome, il malware in genere modifica “Chrome Media Router”, una delle estensioni predefinite del browser, ma abbiamo visto che utilizza estensioni diverse.
Ogni estensione sui browser basati su Chromium ha un ID univoco di 32 caratteri che gli utenti possono utilizzare per individuare l’estensione sui computer o sul Chrome Web Store.ย Su Microsoft Edge e Yandex Browser, utilizza ID di estensioni legittime, come “Radioplayer” per mascherarsi come legittime.ย Poichรฉ รจ raro che la maggior parte di queste estensioni sia giร installata sui dispositivi, crea una nuova cartella con questo ID estensione e memorizza i componenti dannosi in questa cartella.ย In Firefox, aggiunge una cartella con un identificatore univoco globale (GUID) all’estensione del browser.ย In sintesi, i percorsi e gli ID estensione utilizzati dal malware per ogni browser sono di seguito:
Esempi di percorsi di estensione dove trovare il malware
| Browser | Extension paths examples |
| Microsoft Edge | %localappdata%\Microsoft\Edge\User Data\Default\Extensions\fcppdfelojakeahklfgkjegnpbgndoch |
| Google Chrome | %localappdata%\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm (might vary) |
| Mozilla Firefox | %appdata%\Roaming\Mozilla\Firefox\Profiles\<profile>\Extensions\{14553439-2741-4e9d-b474-784f336f58c9} |
| Yandex Browser | %localappdata%\Yandex\YandexBrowser\User Data\Default\Extensions\fcppdfelojakeahklfgkjegnpbgndoch |
Script e un file manifest.json al percorso del file dell’estensione di destinazione. In altri casi, crea una nuova cartella con gli stessi componenti dannosi.
Figura 6. File JavaScript e JSON aggiunti al percorso del file dell’estensione di destinazione
Questi script dannosi si connettono al server dell’aggressore per recuperare script aggiuntivi, responsabili dell’iniezione di annunci pubblicitari nei risultati di ricerca.ย Il nome di dominio del server remoto รจ specificato negli script dell’estensione.ย Il malware invia anche informazioni sul dispositivo a detto server remoto.
Figura 7. Script aggiuntivo scaricato
DLL del browser
Il malware altera anche alcune DLL del browser.ย Ad esempio, su Microsoft Edge, modificaย MsEdge.dllย per disattivare i controlli di sicurezza che sono fondamentali per rilevare eventuali modifiche nelย fileย Preferenze di sicurezzaย .
Figura 8. Confronto tra MsEdge.dll originale e manomesso.
Questa tecnica influisce non solo su Microsoft Edge ma su altri browser basati su Chromium.ย Questi browser memorizzano le impostazioni e le preferenze dell’utente, come la home page e il motore di ricerca predefinito, nelย fileย Preferenzeย .ย Per ciascuno dei quattro browser di destinazione, modifica la relativa DLL:
Browser
Modified files
Microsoft Edge
%PROGRAMFILES%\Microsoft\Edge\Application\<version>\msedge.dll
%localappdata%\Microsoft\Edge\User Data\Default\Secure Preferences
%localappdata%\Microsoft\Edge\User Data\Default\Preferences
Google Chrome
%PROGRAMFILES%\Google\Chrome\Application\<version>\chrome.dll
%localappdata%\Google\Chrome\User Data\Default\Secure Preferences
%localappdata%\Google\Chrome\User Data\Default\Preferences
Yandex Browser
% PROGRAMFILES% \ Yandex \ YandexBrowser \ <version> \ browser.dll
% localappdata% \ Yandex \ YandexBrowser \ User Data \ Default \ Secure Preferences
% localappdata% \ Yandex \ YandexBrowser \ User Data \ Default \ Preferences
Firefox
% PROGRAMFILES% \ Mozilla Firefox \ omni.ja
% appdata% \ Mozilla \ Firefox \ Profiles \ <profile> \ extensions.json
% appdata% \ Mozilla \ Firefox \ Profiles \ <profilo> \ prefs.js
Impostazioni di sicurezza del browser
I browser dispongono di impostazioni di sicurezza che proteggono dalla manomissione del malware. Ilย fileย Preferenzeย , ad esempio, contiene dati sensibili e impostazioni di sicurezza. I browser basati su Chromium rilevano eventuali modifiche non autorizzate a queste impostazioni tramite firme e convalida su diverse preferenze. Queste preferenze, cosรฌ come i parametri di configurazione, sono archiviati nel nome file JSONย Secure Preferencesย .
Ilย fileย Secure Preferences haย una struttura simile alย fileย Preferencesย , tranne per il fatto che il primo aggiunge ilย codice di autenticazione del messaggio basato su hash (HMAC)ย per ogni voce nel file. Questo file contiene anche una chiave denominataย super_macย che verifica l’integritร di tutti gli HMAC. All’avvio del browser, convalida i valori HMAC e laย chiaveย super_macย calcolando e confrontando con l’HMAC SHA-256 di alcuniย nodiย JSONย . Se trova valori che non corrispondono, il browser ripristina la preferenza relativa al valore predefinito.
In passato, i modificatori del browser calcolavano gli hash come fanno i browser e aggiornano leย preferenze di sicurezza diย conseguenza.ย Adrozek fa un ulteriore passo avanti e patcha la funzione che avvia il controllo dell’integritร .ย La patch a due byte annulla il controllo di integritร , il che rende il browser potenzialmente piรน vulnerabile al dirottamento o alla manomissione.
Figura 9. Patch a due byte per la funzione nel file Secure Preferences che avvia il controllo di integritร
Con il controllo dell’integritร disabilitato, Adrozek procede alla modifica delle impostazioni di sicurezza.ย Su Google Chrome o Microsoft Edge, il malware modifica le seguenti voci nelย fileย Preferenze diย protezione per aggiungere autorizzazioni che consentono alle estensioni dannose di avere un maggiore controllo sulle API di Chrome:
Entry inย Secure Preferencesย file
Value
Risultato
browser_action_visible
falso
Plugin non visibile nella barra degli strumenti del browser
extension_can_script_all_urls
vero
Consente all’estensione di eseguire script su tutti gli URL senza autorizzazione esplicita
incognito
vero
L’estensione puรฒ essere eseguita in modalitร di navigazione in incognito
navigazione sicura
falso
Disattiva la navigazione sicura
La schermata seguente mostra le autorizzazioni aggiunte alย fileย Preferenze di sicurezzaย :
Figura 10. Autorizzazioni aggiunte al file Preferenze di protezione
Su Mozilla Firefox, Adrozek modifica le seguenti impostazioni di sicurezza:
Nome file modificato
Soddisfare
Scopo
prefs.js
user_pref (“app.update.auto”, false);
user_pref (“app.update.enabled”, false);
user_pref (“app.update.service.enabled”, false)
Disattiva gli aggiornamenti
extensions.json
(aggiunge dettagli sull’estensione dannosa)
Registra l’estensione nel browser
Omni.ja (modulo XPIDatabase.jsm)
isNewInstall = false
Carica l’estensione
Aggiornamenti del browser
Per evitare che i browser vengano aggiornati con le versioni piรน recenti, che potrebbero ripristinare impostazioni e componenti modificati, Adrozek aggiunge una politica per disattivare gli aggiornamenti.
Figura 11. Criterio aggiunto per disattivare gli aggiornamenti
Persistenza
Oltre a modificare le impostazioni ei componenti del browser, Adrozek cambia anche diverse impostazioni di sistema per avere un controllo ancora maggiore del dispositivo compromesso.ย Memorizza i parametri di configurazione nella chiave di registroย HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ <programName>.ย Leย vociย ”ย tag”ย e ”ย didย ” contengono gli argomenti della riga di comando che utilizza per avviare il payload principale.ย Le varianti piรน recenti di Adrozek utilizzano caratteri casuali invece di ”ย tagย ” o ”ย didย “.
Figura 12. Voci di registro con argomenti della riga di comando che avviano il payload principale
Per mantenere la persistenza, il malware crea un servizio denominato “Main Service”.
Figura 13. Servizio creato per mantenere la persistenza
Iniezione di annunci
Dopo aver manomesso piรน componenti e impostazioni del browser, il malware acquisisce la capacitร di iniettare annunci nei risultati di ricerca sui browser interessati.ย L’iniezione di annunci viene eseguita da script dannosi scaricati da server remoti.
A seconda della parola chiave di ricerca, gli script aggiungono annunci correlati nella parte superiore degli annunci e dei risultati di ricerca legittimi.ย Il numero di annunci inseriti e i siti a cui puntano variano.ย E sebbene non abbiamo visto questi annunci puntare all’hosting di malware e ad altri siti dannosi, gli aggressori possono presumibilmente apportare tale modifica in qualsiasi momento.ย Gli aggressori di Adrozek, tuttavia, operano come fanno gli altri modificatori del browser, ovvero guadagnare attraverso programmi pubblicitari di affiliazione, che pagano il traffico di riferimento verso determinati siti Web.
Figura 14. Confronto delle pagine dei risultati di ricerca su una macchina interessata e una con Adrozek in esecuzione
Furto di credenziali
Su Mozilla Firefox, Adrozek va oltre.ย Sfrutta al massimo il suo punto d’appoggio eseguendo il furto di credenziali.ย Scarica unย fileย .exeย aggiuntivo con nome casualeย , che raccoglie le informazioni sul dispositivo e il nome utente attualmente attivo.ย Invia queste informazioni all’attaccante.
Figura 15. File eseguibile aggiuntivo scritto nella cartella% temp%
Quindi inizia a individuare file specifici, inclusoย login.jsonย .ย Su Mozilla Firefox, il suddetto file, che si trova inย % appdata% \ Roaming \ Mozilla \ Firefox \ Profiles \ <profilo> \ logins.jsonย , memorizza le credenziali dell’utente in forma crittografata e la cronologia di navigazione.
Figura 16. File JSON contenente le credenziali rubate
Il malware cerca parole chiave specifiche comeย encryptedUsernameย eย encryptedPasswordย per individuare i dati crittografati.ย Quindi decrittografa i dati utilizzando la funzioneย PK11SDR_Decrypt ()ย all’interno della libreria di Firefox e li invia agli aggressori.
Con questa funzione aggiuntiva, Adrozek si distingue dagli altri modificatori del browser e dimostra che non esistono minacce a bassa prioritร o non urgenti.ย In primo luogo, impedire che l’intera gamma di minacce ottenga l’accesso รจ della massima importanza.
Difendersi da sofisticati modificatori del browser
Adrozek mostra che anche le minacce che non sono considerate urgenti o critiche stanno diventando sempre piรน complesse.ย E mentre l’obiettivo principale del malware รจ iniettare annunci e indirizzare il traffico a determinati siti Web, la catena di attacchi comporta comportamenti sofisticati che consentono agli aggressori di ottenere una solida base su un dispositivo.ย L’aggiunta del comportamento di furto di credenziali mostra che gli aggressori possono espandere i propri obiettivi per sfruttare l’accesso che possono ottenere.
Questi comportamenti complessi e il fatto che la campagna utilizzi malware polimorfico richiedono protezioni incentrate sull’identificazione e il rilevamento di comportamenti dannosi.ย Microsoft Defender Antivirus, la soluzione di protezione degli endpoint integrata in Windows 10, utilizza rilevamenti basati sul comportamento e basati sull’apprendimento automatico per bloccare Adrozek.
Si consiglia agli utenti finali che riscontrano questa minaccia sui propri dispositivi di reinstallare i propri browser. Considerando l’enorme infrastruttura utilizzata per distribuire questa minaccia sul Web, gli utenti dovrebbero anche informarsi sullaย prevenzione delle infezioni da malwareย e sui rischi di scaricare e installare software da fonti non attendibili e fare clic su annunci o collegamenti su siti Web sospetti. Gli utenti dovrebbero anche trarre vantaggio dalle soluzioni di filtro URL, come Microsoft Defender SmartScreen su Microsoft Edge. La configurazione del software di sicurezza per il download e l’installazione automatica degli aggiornamenti, nonchรฉ l’esecuzione delle versioni piรน recenti del sistema operativo e delle applicazioni e la distribuzione degli ultimi aggiornamenti di sicurezza aiutano a proteggere gli endpoint dalle minacce.
Per le aziende, i difensori dovrebbero cercare di ridurre la superficie di attacco per questi tipi di minacce.ย Il controllo delle applicazioni consente alle organizzazioni di imporre l’uso solo di app e servizi autorizzati.ย I browser di livello aziendale come Microsoft Edge forniscono funzionalitร di sicurezza aggiuntive come l’accesso condizionale e Application Guard che difendono dalle minacce sul browser.
ร anche importante per le aziende ottenere una visibilitร approfondita sui comportamenti dannosi sugli endpoint e la capacitร di correlare con i dati sulle minacce provenienti da altri domini come app cloud, posta elettronica, dati e identitร .ย Microsoft 365Defenderย offre protezione coordinata in tutti i domini e fornisce strumenti di indagine avanzati che consentono ai difensori di rispondere agli attacchi.ย Scopri come la tua organizzazione puรฒ bloccare gli attacchi attraverso la sicurezza automatizzata e interdominio e l’intelligenza artificiale integrata con Microsoft Defender 365ย .
