Adrozek تصيب أكثر من 30000 جهاز يوميًا
دقت شركة مايكروسوفت ناقوس الخطر بشأن السلالة الجديدة من البرامج الضارة المسماة Adrozek القادرة على إصابة أجهزة المستخدمين وسرقة البيانات واختطاف المتصفحات وتعديل إعداداتها من أجل حقن الإعلانات في صفحات نتائج البحث.
وكانت البرمجية الضارة نشطة منذ شهر مايو 2020 على الأقل، ووصلت إلى ذروتها في شهر أغسطس من هذا العام عندما كانت تتحكم في أكثر من 30 ألف متصفح كل يوم.
ويعتقد فريق مايكروسوفت للأبحاث أن عدد المستخدمين المصابين أعلى بكثير، وقال باحثو مايكروسوفت: إنهم اكتشفوا بين شهري مايو وسبتمبر 2020 مئات الآلاف من الإصابات ببرمجية Adrozek في جميع أنحاء العالم.
ويبدو أن التركيز الأعلى للضحايا يقع في أوروبا، يليه جنوب شرق آسيا، ويمكنه للبرمجية اختراق متصفحات Microsoft Edge و Google Chrome و Yandex Browser و Mozilla Firefox.
وتقول مايكروسوفت: يجري توزيع البرمجية الضارة من خلال أنظمة التنزيل الكلاسيكية، ويتم عادةً إعادة توجيه المستخدمين من المواقع الشرعية إلى المجالات المشبوهة حيث يتم خداعهم لتثبيت البرمجية الضارة.
وتبحث البرمجية الضارة Adrozek بعد تثبيتها عن المتصفحات المثبتة، وتحاول عند عثورها على المتصفحات فرض تثبيت الإضافة عن طريق تعديل مجلد المتصفح AppData.
وتعدل Adrozek بعض ملفات DLL الخاصة بالمتصفحات لتغيير إعدادات المتصفح وتعطيل ميزات الأمان للمتصفح وعدم اكتشاف التعديلات غير المصرح بها.
وتشمل التعديلات التي تجريها البرمجية الضارة ما يلي:
تعطيل تحديثات المتصفح.
تعطيل عمليات التحقق من سلامة الملف.
تعطيل ميزة التصفح الآمن.
تسجيل وتفعيل الإضافة التي أضافتها.
السماح للإضافات الضارة بالعمل في وضع التصفح المتخفي.
السماح بتشغيل الإضافة دون الحصول على الأذونات المناسبة.
إخفاء الإضافة من شريط الأدوات.
تعديل الصفحة الرئيسية الافتراضية للمتصفح.
تعديل محرك البحث الافتراضي للمتصفح.
وتسمح هذه الخطوات للبرمجية الضارة بحقن الإعلانات في صفحات نتائج البحث، مما يسمح لمشغليها بجني الأرباح عن طريق توجيه حركة المرور نحو الإعلانات.
وتقول مايكروسوفت: إن Adrozek تتضمن ميزة ثانوية تعمل عبر متصفح فايرفوكس، بحيث تستخرج البيانات من المتصفح وترسلها إلى خوادم المهاجم.
وتتبعت مايكروسوفت حتى الآن 159 مجالًا استضاف Adrozek منذ شهر مايو 2020، بحيث استضاف كل مجال في المتوسط 17300 عنوان URL فريد تم إنشاؤه ديناميكيًا، واستضاف كل عنوان URL أكثر من 15300 عينة من البرمجية الضارة التي تم إنشاؤها ديناميكيًا.