微软警告一只恶意程序劫持Chrome、Firefox及Edge等浏览器显示恶意广告目前在网络上传播,还会窃取部分用户的账号密码,最多一天感染3万台计算机。
名为Adrozek的渗透性恶意程序是一种浏览器修改程序(browser modifier)家族,它会修改目标浏览器搜索引擎设置、以插入未授权广告于网页内,借此进行点击诈骗。此外,它还会从浏览器窃取密码用于未来攻击。所有主要浏览器都受到影响。
Adrozek从今年5月就在网络上大量传播开来,而在攻击最高峰的8月,微软观测它每天在超过3万台设备上活动。
微软解释Adrozek攻击步骤。它一开始是利用大量域名托管数千个URL进行挂马(drive-by)攻击,以各种名目吸引用户下载。一旦安装到计算机后,就会修改浏览器插件程序及特定DLL档。
修改插件程序目的在加入JavaScript以连接外部服务器,以显示恶意广告在搜索结果页上,修改DLL档则是为了关闭安全设置,确保浏览器下载恶意插件,以及关闭浏览器更新以免安全设置被回复。另外,它也会修改系统设置以降低被安全软件侦测到,以扩大在受害者计算机内的潜伏期。
在修改计算机设置后,Adrozek便可以开始主要活动。它的恶意Script会在搜索结果页及结果页最上方的合法广告上插入广告,目的是引诱搜索特定关键字的用户点入已被它注入的广告,再连到广告联盟网页,借此赚取导流收入,即点击诈骗。
主要浏览器包括Chrome、Edge、Firefox及Yandex都受到这波攻击的影响。而在Firefox上,Adrozek还会再多一招,它还下载一个执行文件以搜集设备信息、目前有效的用户账号名称,以及访问存储Firefox密码及上网记录的文件,再将这些信息传给攻击者。
微软指出,会执行点击诈骗的程序并不少见,但Adrozek冒充多种名目、潜伏在计算机内的手法,以及窃取用户密码的行为,显示攻击者手法越来越高明,且野心也更大。
发现这类攻击的个人用户,微软建议重新安装浏览器。至于企业用户,微软则建议切断这些威胁的攻击面,像是启动应用管控,只允许使用经授权的App和服务,或是使用端点安全产品,并找出其他域名(如云计算App)、电子邮件、和身份等威胁和端点资料的关联性。