Logiciel malveillant Adrozek

Le logiciel malveillant Adrozek est une nouvelle souche de malware qui a été découverte par les chercheurs de l'équipe de recherche 365 Defender de Microsoft. Opérationnel depuis au moins mai 2020, la menace du logiciel malveillant aurait infecté des centaines de milliers d'appareils. Les victimes semblent être situées dans le monde entier, les grappes les plus importantes étant en Europe, suivies de l'Asie du Sud et du Sud-Est. La portée de la campagne est impressionnante. Les cybercriminels responsables de la menace ont établi 159 domaines hébergeant des installateurs Adrozek qui, en moyenne, contenaient chacun 17 300 URL générées dynamiquement. À son tour, chaque URL distincte s'est avérée héberger plus de 15 300 installateurs Adrozek générés dynamiquement.

L'objectif menaçant d'Adrozek est d'infecter les appareils de l'utilisateur, de prendre le contrôle de son navigateur Web, puis d'injecter des publicités sponsorisées dans les résultats répertoriés pour toutes les requêtes de recherche générant des gains monétaires pour ses créateurs dans le processus. Le principal vecteur d'infection utilisé dans les attaques Adrozek est le téléchargement au volant. Les utilisateurs sont redirigés de sites Web légitimes vers des domaines douteux qui reposent sur des tactiques manipulatrices et trompeuses pour inciter les visiteurs à télécharger des logiciels menaçants, agissant comme un compte-gouttes pour Adrozek.

Lorsque la charge utile principale est fournie au système, il établit un mécanisme de persistance en exploitant les clés de registre. Adrozek analysera ensuite le système à la recherche de quatre navigateurs spécifiques: Microsoft Edge, Google Chrome, Mozilla Firefox et le navigateur Yandex. La menace malveillante tentera ensuite d'installer de force une extension menaçante en apportant certaines modifications au dossier AppData du navigateur spécifique. Adrozek doit d'abord désactiver les mesures de sécurité intégrées du navigateur en falsifiant les fichiers DLL du navigateur pour accomplir cette tâche. En bref, le logiciel malveillant désactive toutes les mises à jour du navigateur, les vérifications d'intégrité des fichiers et la fonction de navigation sécurisée. La menace façonne ensuite le navigateur pour qu'il devienne un environnement approprié en donnant à l'extension menaçante des privilèges élevés, en lui permettant de s'exécuter en mode incognito, puis en l'enregistrant et en l'exécutant. Pour générer un trafic artificiel vers les publicités affichées, Adrozek emprunte certaines fonctionnalités de pirate de navigateur - il prend le contrôle de la page d'accueil et du nouvel onglet du navigateur concerné. Les utilisateurs exécutant Firefox seront également exposés à de graves problèmes de confidentialité alors qu'Adrozek déploie, uniquement pour ce navigateur, un collecteur d'informations qui peut collecter et exfiltrer les informations d'identification du compte.