Adrozek, el malware que secuestra Chrome, Edge y Firefox

Microsoft activó la alarma sobre una nueva variedad de malware que infecta los dispositivos de los usuarios y luego procede a modificar los navegadores y su configuración para inyectar anuncios en las páginas de resultados de búsqueda. Llamado  Adrozek , el malware ha estado activo desde al menos mayo de 2020 y alcanzó su pico absoluto en […]

Microsoft activó la alarma sobre una nueva variedad de malware que infecta los dispositivos de los usuarios y luego procede a modificar los navegadores y su configuración para inyectar anuncios en las páginas de resultados de búsqueda.

Llamado  Adrozek , el malware ha estado activo desde al menos mayo de 2020 y alcanzó su pico absoluto en agosto de este año cuando controló más de 30.000 navegadores cada día.

Imagen vía Microsoft

Pero en un informe, el equipo de investigación de Microsoft 365 Defender cree que la cantidad de usuarios infectados es mucho, mucho mayor. De hecho, afirmaron que entre mayo y septiembre de 2020, observaron “cientos de miles” de detecciones de Adrozek en todo el mundo.

¿Cómo se propaga y funciona este malware?

Microsoft dice que, actualmente, el malware se distribuye a través de esquemas clásicos de descarga drive-by. Los usuarios suelen ser redirigidos de sitios legítimos a dominios sospechosos donde se les engaña para que instalen software malicioso.

El software boobytrapped instala el malware Androzek, que luego procede a obtener la persistencia de reinicio con la ayuda de una clave de registro.

Una vez asegurada la persistencia, el malware buscará navegadores instalados localmente como  Microsoft Edge ,  Google Chrome ,  Mozilla Firefox o el  navegador Yandex .

Encontrar candidatos para un puesto de ingeniero de datos con los conocimientos y la experiencia necesarios para implementar arquitecturas de datos confiables para su empresa requerirá un proceso de contratación integral. 

Si alguno de estos navegadores se encuentra en hosts infectados, el malware intentará forzar la instalación de una extensión modificando las carpetas AppData del navegador.

Para asegurarse de que las funciones de seguridad del navegador no se activen y detecten modificaciones no autorizadas, Adrozek también modifica algunos de los archivos DLL de los navegadores para cambiar la configuración del navegador y deshabilitar las funciones de seguridad.

Las modificaciones realizadas por Adrozek incluyen:

• Deshabilitar las actualizaciones del navegador
• Deshabilitar las comprobaciones de integridad de archivos
• Deshabilitar la función de navegación segura
• Registrar y activar la extensión que agregaron en un paso anterior
• Permitir que su extensión maliciosa se ejecute en modo incógnito
• Permitir que la extensión se ejecute sin obtener los permisos adecuados
• Ocultar la extensión de la barra de herramientas
• Modificar la página de inicio predeterminada del navegador
• Modificar el motor de búsqueda predeterminado del navegador

Todo esto se hace para permitir que Adrozek inyecte anuncios en las páginas de resultados de búsqueda, anuncios que permiten a la banda de malware obtener ingresos al dirigir el tráfico hacia programas de referencia de tráfico y publicidad.

Imagen vía Microsoft

Pero si esto no fuera lo suficientemente malo, Microsoft dice que en Firefox, Adrozek también contiene una función secundaria que extrae las credenciales del navegador y carga los datos en los servidores del atacante.