Una diffusa campagna di malware cerca di iniettare silenziosamente annunci nei risultati di ricerca ed interessa più browser per introdurre pubblicità non volute tra i risultati delle ricerche. Gli utenti vengono reindirizzati da siti legittimi a domini poco sicuri dove vengono ingannati per installare il software dannoso. Come soluzione si ha a disposizione solo la reinstallazione del browser.
Ecco il testo completo dell’articolo tradotto con google :
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Una campagna malware persistente ha distribuito attivamente un malware modificatore del browser evoluto su larga scala almeno da maggio 2020. Al suo apice in agosto, la minaccia è stata osservata su oltre 30.000 dispositivi ogni giorno. Il malware è progettato per iniettare annunci nelle pagine dei risultati dei motori di ricerca. La minaccia colpisce più browser – Microsoft Edge, Google Chrome, Yandex Browser e Mozilla Firefox – esponendo l’intenzione degli aggressori di raggiungere il maggior numero possibile di utenti Internet.
Chiamiamo questa famiglia di modificatori del browser Adrozek. Se non viene rilevato e bloccato, Adrozek aggiunge estensioni del browser, modifica una DLL specifica per browser di destinazione e cambia le impostazioni del browser per inserire annunci aggiuntivi e non autorizzati nelle pagine web, spesso in aggiunta ad annunci legittimi dei motori di ricerca. L’effetto previsto è che gli utenti, alla ricerca di determinate parole chiave, facciano clic inavvertitamente su questi annunci inseriti da malware, che portano a pagine affiliate. Gli aggressori guadagnano attraverso programmi pubblicitari di affiliazione, che pagano in base alla quantità di traffico riferito a pagine affiliate sponsorizzate.
Figura 1. Confronto delle pagine dei risultati di ricerca su una macchina interessata e una con Adrozek in esecuzione.
I criminali informatici che abusano dei programmi di affiliazione non sono una novità: i modificatori del browser sono alcuni dei tipi di minacce più vecchi. Tuttavia, il fatto che questa campagna utilizzi un malware che colpisce più browser è un’indicazione di come questo tipo di minaccia continui ad essere sempre più sofisticato. Inoltre, il malware mantiene la persistenza ed esfiltra le credenziali del sito Web, esponendo i dispositivi interessati a rischi aggiuntivi.
Una campagna così sostenuta e di vasta portata richiede un’infrastruttura per gli aggressori ampia e dinamica. Abbiamo monitorato 159 domini univoci, ciascuno contenente una media di 17.300 URL univoci, che a loro volta ospitano in media più di 15.300 campioni di malware unici e polimorfici. In totale, da maggio a settembre 2020, abbiamo registrato centinaia di migliaia di incontri del malware Adrozek in tutto il mondo, con forte concentrazione in Europa e in Asia meridionale e sud-est asiatico. Poiché questa campagna è in corso, questa infrastruttura è destinata ad espandersi ulteriormente.
Figura 2. Distribuzione geografica degli incontri di Adrozek da maggio a settembre 2020.
La protezione efficace da campagne dilaganti e persistenti come questa che incorporano più componenti, polimorfismo e comportamenti malware evoluti richiede un rilevamento e una visibilità avanzati e basati sul comportamento attraverso l’intera catena di attacco piuttosto che componenti specifici. Microsoft Defender Antivirus , la soluzione di protezione degli endpoint integrata in Windows 10, blocca questa minaccia utilizzando protezioni basate sul comportamento e basate sull’apprendimento automatico. Per le imprese,Microsoft 365Defender offre una visibilità approfondita sui comportamenti dannosi. In questo blog condivideremo la nostra analisi approfondita di questa campagna, inclusa l’architettura di distribuzione e il comportamento del malware, e forniremo le difese consigliate.
Intermezzo promozionale ... continua la lettura dopo il box:
Infrastruttura di distribuzione
Il malware Adrozek viene installato sui dispositivi tramite download drive-by. Nel nostro monitoraggio della campagna Adrozek da maggio a settembre 2020, abbiamo visto 159 domini unici utilizzati per distribuire centinaia di migliaia di campioni di malware unici. Gli aggressori hanno fatto molto affidamento sul polimorfismo, che consente agli aggressori di sfornare enormi volumi di campioni e di eludere il rilevamento.
Sebbene molti dei domini ospitassero decine di migliaia di URL, alcuni avevano più di 100.000 URL univoci, con uno che ne ospitava quasi 250.000. Questa imponente infrastruttura riflette quanto siano determinati gli aggressori a mantenere operativa questa campagna.
Figura 3. Numero di URL e numero di file ospitati su domini Adrozek con almeno 100 file.
Anche l’infrastruttura di distribuzione è molto dinamica. Alcuni dei domini erano attivi solo per un giorno, mentre altri erano attivi più a lungo, fino a 120 giorni. È interessante notare che abbiamo visto alcuni dei domini distribuire file puliti come Process Explorer, probabilmente un tentativo degli aggressori di migliorare la reputazione dei loro domini e URL ed eludere le protezioni basate sulla rete.
Installazione
Gli aggressori utilizzano questa vasta infrastruttura per distribuire centinaia di migliaia di esempi di installazione di Adrozek unici. Ciascuno di questi file è fortemente offuscato e utilizza un nome file univoco che segue questo formato: setup_ <nome applicazione> _ <numeri> .exe .
Figura 4. Catena di attacchi di Adrozek
Quando viene eseguito, il programma di installazione rilascia un file .exe con un nome file casuale nella cartella% temp%. Questo file rilascia il payload principale nella cartella Programmi utilizzando un nome file che lo fa sembrare un software legittimo relativo all’audio. Abbiamo osservato che il malware utilizza vari nomi come Audiolava.exe , QuickAudio.exe e converter.exe . Il malware viene installato come un normale programma a cui è possibile accedere tramite Impostazioni> App e funzionalità e registrato come servizio con lo stesso nome.
Figura 5. Adrozek installato come un programma a cui è possibile accedere tramite l’impostazione App e funzionalità
Modifica dei componenti del browser
Una volta installato, Adrozek apporta più modifiche alle impostazioni e ai componenti del browser. Queste modifiche consentono al malware di iniettare annunci nelle pagine dei risultati dei motori di ricerca.
Estensioni
Il malware apporta modifiche a determinate estensioni del browser. Su Google Chrome, il malware in genere modifica “Chrome Media Router”, una delle estensioni predefinite del browser, ma abbiamo visto che utilizza estensioni diverse.
Ogni estensione sui browser basati su Chromium ha un ID univoco di 32 caratteri che gli utenti possono utilizzare per individuare l’estensione sui computer o sul Chrome Web Store. Su Microsoft Edge e Yandex Browser, utilizza ID di estensioni legittime, come “Radioplayer” per mascherarsi come legittime. Poiché è raro che la maggior parte di queste estensioni sia già installata sui dispositivi, crea una nuova cartella con questo ID estensione e memorizza i componenti dannosi in questa cartella. In Firefox, aggiunge una cartella con un identificatore univoco globale (GUID) all’estensione del browser. In sintesi, i percorsi e gli ID estensione utilizzati dal malware per ogni browser sono di seguito:
Esempi di percorsi di estensione dove trovare il malware
| Browser | Extension paths examples |
| Microsoft Edge | %localappdata%\Microsoft\Edge\User Data\Default\Extensions\fcppdfelojakeahklfgkjegnpbgndoch |
| Google Chrome | %localappdata%\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm (might vary) |
| Mozilla Firefox | %appdata%\Roaming\Mozilla\Firefox\Profiles\<profile>\Extensions\{14553439-2741-4e9d-b474-784f336f58c9} |
| Yandex Browser | %localappdata%\Yandex\YandexBrowser\User Data\Default\Extensions\fcppdfelojakeahklfgkjegnpbgndoch |
Script e un file manifest.json al percorso del file dell’estensione di destinazione. In altri casi, crea una nuova cartella con gli stessi componenti dannosi.
Figura 6. File JavaScript e JSON aggiunti al percorso del file dell’estensione di destinazione
Questi script dannosi si connettono al server dell’aggressore per recuperare script aggiuntivi, responsabili dell’iniezione di annunci pubblicitari nei risultati di ricerca. Il nome di dominio del server remoto è specificato negli script dell’estensione. Il malware invia anche informazioni sul dispositivo a detto server remoto.
Figura 7. Script aggiuntivo scaricato
DLL del browser
Il malware altera anche alcune DLL del browser. Ad esempio, su Microsoft Edge, modifica MsEdge.dll per disattivare i controlli di sicurezza che sono fondamentali per rilevare eventuali modifiche nel file Preferenze di sicurezza .
Figura 8. Confronto tra MsEdge.dll originale e manomesso.
Questa tecnica influisce non solo su Microsoft Edge ma su altri browser basati su Chromium. Questi browser memorizzano le impostazioni e le preferenze dell’utente, come la home page e il motore di ricerca predefinito, nel file Preferenze . Per ciascuno dei quattro browser di destinazione, modifica la relativa DLL:
Browser
Modified files
Microsoft Edge
%PROGRAMFILES%\Microsoft\Edge\Application\<version>\msedge.dll
%localappdata%\Microsoft\Edge\User Data\Default\Secure Preferences
%localappdata%\Microsoft\Edge\User Data\Default\Preferences
Google Chrome
%PROGRAMFILES%\Google\Chrome\Application\<version>\chrome.dll
%localappdata%\Google\Chrome\User Data\Default\Secure Preferences
%localappdata%\Google\Chrome\User Data\Default\Preferences
Yandex Browser
% PROGRAMFILES% \ Yandex \ YandexBrowser \ <version> \ browser.dll
% localappdata% \ Yandex \ YandexBrowser \ User Data \ Default \ Secure Preferences
% localappdata% \ Yandex \ YandexBrowser \ User Data \ Default \ Preferences
Firefox
% PROGRAMFILES% \ Mozilla Firefox \ omni.ja
% appdata% \ Mozilla \ Firefox \ Profiles \ <profile> \ extensions.json
% appdata% \ Mozilla \ Firefox \ Profiles \ <profilo> \ prefs.js
Impostazioni di sicurezza del browser
I browser dispongono di impostazioni di sicurezza che proteggono dalla manomissione del malware. Il file Preferenze , ad esempio, contiene dati sensibili e impostazioni di sicurezza. I browser basati su Chromium rilevano eventuali modifiche non autorizzate a queste impostazioni tramite firme e convalida su diverse preferenze. Queste preferenze, così come i parametri di configurazione, sono archiviati nel nome file JSON Secure Preferences .
Il file Secure Preferences ha una struttura simile al file Preferences , tranne per il fatto che il primo aggiunge il codice di autenticazione del messaggio basato su hash (HMAC) per ogni voce nel file. Questo file contiene anche una chiave denominata super_mac che verifica l’integrità di tutti gli HMAC. All’avvio del browser, convalida i valori HMAC e la chiave super_mac calcolando e confrontando con l’HMAC SHA-256 di alcuni nodi JSON . Se trova valori che non corrispondono, il browser ripristina la preferenza relativa al valore predefinito.
In passato, i modificatori del browser calcolavano gli hash come fanno i browser e aggiornano le preferenze di sicurezza di conseguenza. Adrozek fa un ulteriore passo avanti e patcha la funzione che avvia il controllo dell’integrità. La patch a due byte annulla il controllo di integrità, il che rende il browser potenzialmente più vulnerabile al dirottamento o alla manomissione.
Figura 9. Patch a due byte per la funzione nel file Secure Preferences che avvia il controllo di integrità
Con il controllo dell’integrità disabilitato, Adrozek procede alla modifica delle impostazioni di sicurezza. Su Google Chrome o Microsoft Edge, il malware modifica le seguenti voci nel file Preferenze di protezione per aggiungere autorizzazioni che consentono alle estensioni dannose di avere un maggiore controllo sulle API di Chrome:
Entry in Secure Preferences file
Value
Risultato
browser_action_visible
falso
Plugin non visibile nella barra degli strumenti del browser
extension_can_script_all_urls
vero
Consente all’estensione di eseguire script su tutti gli URL senza autorizzazione esplicita
incognito
vero
L’estensione può essere eseguita in modalità di navigazione in incognito
navigazione sicura
falso
Disattiva la navigazione sicura
La schermata seguente mostra le autorizzazioni aggiunte al file Preferenze di sicurezza :
Figura 10. Autorizzazioni aggiunte al file Preferenze di protezione
Su Mozilla Firefox, Adrozek modifica le seguenti impostazioni di sicurezza:
Nome file modificato
Soddisfare
Scopo
prefs.js
user_pref (“app.update.auto”, false);
user_pref (“app.update.enabled”, false);
user_pref (“app.update.service.enabled”, false)
Disattiva gli aggiornamenti
extensions.json
(aggiunge dettagli sull’estensione dannosa)
Registra l’estensione nel browser
Omni.ja (modulo XPIDatabase.jsm)
isNewInstall = false
Carica l’estensione
Aggiornamenti del browser
Per evitare che i browser vengano aggiornati con le versioni più recenti, che potrebbero ripristinare impostazioni e componenti modificati, Adrozek aggiunge una politica per disattivare gli aggiornamenti.
Figura 11. Criterio aggiunto per disattivare gli aggiornamenti
Persistenza
Oltre a modificare le impostazioni ei componenti del browser, Adrozek cambia anche diverse impostazioni di sistema per avere un controllo ancora maggiore del dispositivo compromesso. Memorizza i parametri di configurazione nella chiave di registro HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ <programName>. Le voci ” tag” e ” did ” contengono gli argomenti della riga di comando che utilizza per avviare il payload principale. Le varianti più recenti di Adrozek utilizzano caratteri casuali invece di ” tag ” o ” did “.
Figura 12. Voci di registro con argomenti della riga di comando che avviano il payload principale
Per mantenere la persistenza, il malware crea un servizio denominato “Main Service”.
Figura 13. Servizio creato per mantenere la persistenza
Iniezione di annunci
Dopo aver manomesso più componenti e impostazioni del browser, il malware acquisisce la capacità di iniettare annunci nei risultati di ricerca sui browser interessati. L’iniezione di annunci viene eseguita da script dannosi scaricati da server remoti.
A seconda della parola chiave di ricerca, gli script aggiungono annunci correlati nella parte superiore degli annunci e dei risultati di ricerca legittimi. Il numero di annunci inseriti e i siti a cui puntano variano. E sebbene non abbiamo visto questi annunci puntare all’hosting di malware e ad altri siti dannosi, gli aggressori possono presumibilmente apportare tale modifica in qualsiasi momento. Gli aggressori di Adrozek, tuttavia, operano come fanno gli altri modificatori del browser, ovvero guadagnare attraverso programmi pubblicitari di affiliazione, che pagano il traffico di riferimento verso determinati siti Web.
Figura 14. Confronto delle pagine dei risultati di ricerca su una macchina interessata e una con Adrozek in esecuzione
Furto di credenziali
Su Mozilla Firefox, Adrozek va oltre. Sfrutta al massimo il suo punto d’appoggio eseguendo il furto di credenziali. Scarica un file .exe aggiuntivo con nome casuale , che raccoglie le informazioni sul dispositivo e il nome utente attualmente attivo. Invia queste informazioni all’attaccante.
Figura 15. File eseguibile aggiuntivo scritto nella cartella% temp%
Quindi inizia a individuare file specifici, incluso login.json . Su Mozilla Firefox, il suddetto file, che si trova in % appdata% \ Roaming \ Mozilla \ Firefox \ Profiles \ <profilo> \ logins.json , memorizza le credenziali dell’utente in forma crittografata e la cronologia di navigazione.
Figura 16. File JSON contenente le credenziali rubate
Il malware cerca parole chiave specifiche come encryptedUsername e encryptedPassword per individuare i dati crittografati. Quindi decrittografa i dati utilizzando la funzione PK11SDR_Decrypt () all’interno della libreria di Firefox e li invia agli aggressori.
Con questa funzione aggiuntiva, Adrozek si distingue dagli altri modificatori del browser e dimostra che non esistono minacce a bassa priorità o non urgenti. In primo luogo, impedire che l’intera gamma di minacce ottenga l’accesso è della massima importanza.
Difendersi da sofisticati modificatori del browser
Adrozek mostra che anche le minacce che non sono considerate urgenti o critiche stanno diventando sempre più complesse. E mentre l’obiettivo principale del malware è iniettare annunci e indirizzare il traffico a determinati siti Web, la catena di attacchi comporta comportamenti sofisticati che consentono agli aggressori di ottenere una solida base su un dispositivo. L’aggiunta del comportamento di furto di credenziali mostra che gli aggressori possono espandere i propri obiettivi per sfruttare l’accesso che possono ottenere.
Questi comportamenti complessi e il fatto che la campagna utilizzi malware polimorfico richiedono protezioni incentrate sull’identificazione e il rilevamento di comportamenti dannosi. Microsoft Defender Antivirus, la soluzione di protezione degli endpoint integrata in Windows 10, utilizza rilevamenti basati sul comportamento e basati sull’apprendimento automatico per bloccare Adrozek.
Si consiglia agli utenti finali che riscontrano questa minaccia sui propri dispositivi di reinstallare i propri browser. Considerando l’enorme infrastruttura utilizzata per distribuire questa minaccia sul Web, gli utenti dovrebbero anche informarsi sulla prevenzione delle infezioni da malware e sui rischi di scaricare e installare software da fonti non attendibili e fare clic su annunci o collegamenti su siti Web sospetti. Gli utenti dovrebbero anche trarre vantaggio dalle soluzioni di filtro URL, come Microsoft Defender SmartScreen su Microsoft Edge. La configurazione del software di sicurezza per il download e l’installazione automatica degli aggiornamenti, nonché l’esecuzione delle versioni più recenti del sistema operativo e delle applicazioni e la distribuzione degli ultimi aggiornamenti di sicurezza aiutano a proteggere gli endpoint dalle minacce.
Per le aziende, i difensori dovrebbero cercare di ridurre la superficie di attacco per questi tipi di minacce. Il controllo delle applicazioni consente alle organizzazioni di imporre l’uso solo di app e servizi autorizzati. I browser di livello aziendale come Microsoft Edge forniscono funzionalità di sicurezza aggiuntive come l’accesso condizionale e Application Guard che difendono dalle minacce sul browser.
È anche importante per le aziende ottenere una visibilità approfondita sui comportamenti dannosi sugli endpoint e la capacità di correlare con i dati sulle minacce provenienti da altri domini come app cloud, posta elettronica, dati e identità. Microsoft 365Defender offre protezione coordinata in tutti i domini e fornisce strumenti di indagine avanzati che consentono ai difensori di rispondere agli attacchi. Scopri come la tua organizzazione può bloccare gli attacchi attraverso la sicurezza automatizzata e interdominio e l’intelligenza artificiale integrata con Microsoft Defender 365 .
