I'm the creeper

Adrozek, il malware dei browser che inietta link e pubblicità

Scoperto un nuovo malware, o meglio, una nuova famiglia di malware: si chiama Adrozek e infetta i browser sfruttando le pubblicità.

A renderlo noto è il team di ricercatori di sicurezza Microsoft, che qualche giorno fa ha rilasciato un comunicato ufficiale sul funzionamento del malware. Il software colpisce i principali browser e sarebbe attivo già da Maggio scorso.

Adrozek: il malware che terrorizza i browser

L’avvertimento diffuso da Microsoft riguarda un nuovo “ceppo” di malware che introduce pubblicità non richieste nei risultati di ricerca.

I malware Adrozek, tramite estensioni malevole, modificano le specifiche DLL e le impostazioni per modificare i risultati del motore di ricerca e iniettarvi pubblicità, sotto forma di link non ufficiali e insicuri.

Ricerche di un browser infettato dal malware Adrozek. Credits: Microsoft

Se un utente clicca su uno dei link finisce su una pagina “affiliata” ai creatori del malware, i quali guadagnano grazie al traffico generato per gli sponsor. Nel caso di Adrozek la minaccia colpisce diversi browser, raggiungendo così più utenti. Troviamo infatti Edge, Chrome, Firefox e Yandex, mentre Safari sembra essere immune.

Dietro il malware e gli affiliati ci sono 159 domini, ognuno dei quali comprende 17.300 URL unici di advertisment. Il software malevolo è attivo da Maggio 2020 e ha raggiunto il suo picco ad Agosto, controllando più di 30.000 dispositivi nel mondo. Adrozek si è diffuso maggiormente in Europa e nel sud dell’Asia.

La mappa di diffusione di Adrozek. Credits: Microsoft

Come colpisce Adrozek

Il team di ricercatori Microsoft ha comunicato che Adrozek viene installato tramite drive-by download, ovvero senza il consenso dell’utente e senza che clicchi alcun bottone di download. In alcuni casi il malware viene scaricato quando si clicca su un alert di sicurezza, mentre il più delle volte è sufficiente navigare su un sito per essere infettati, senza svolgere alcuna azione.

Il malware agisce principalmente sulle estensioni di default del browser, aggiungendo degli script malevoli che, connettendosi al server degli attaccanti, scaricano gli script responsabili dell’injection delle pubblicità al posto dei principali risultati.

Le estensioni browser prima e dopo l’attacco. Credits: Microsoft

Anche le librerie DLL sono colpite: ad esempio, su Edge (e tutti i browser Chromium-based) il malware modifica la MsEdge.dll e disattiva i controlli di sicurezza sui file di preferenze del browser. Questi file contengono impostazioni utente, dati sensibili e le preferenze di ricerca per la home page e il motore di default.

Su Firefox il problema è esteso anche alle credenziali: Adrozek è infatti in grado di rubare le informazioni dell’utente loggato grazie ad un ulteriore file .exe e inviarle all’attaccante. Il malware ricerca keyword quali encryptedUsername e encryptedPassword, identifica dove si trovano e tramite la funzione PK11SDR_Decrypt() le decripta e le invia al server dell’hacker.

Il file contente le credenziali rubate all’utente. Credit: Microsoft

Adrozek può inoltre modificare le policy di aggiornamento automatico del browser in modo da bloccare gli update. Aggiornare il browser significa infatti eliminare il malware e la minaccia.

Come proteggersi

Se si è stati attaccati dal malware la prima cosa da fare è reinstallare il browser ed eliminare qualsiasi file di installazione di dubbia provenienza dal PC.

Per prevenire la diffusione di Adrozek, invece, valgono sempre le stesse regole: non installare software non ufficiale, non cliccare su link o alert sospetti o su pubblicità equivoche, e avere attivo un software di protezione per il computer.

Published by
Marina Londei