Windows pod ostrzałem. Szkodnik Adrozek atakuje przeglądarki Chrome, Edge i Firefox
Codziennie pojawiają się dziesiątki nowych rodzajów złośliwego oprogramowania na niemal każdą platformę. Microsoft ostrzega przed Adrozekiem – malware’em atakującym Chrome’a, Edge’a i Firefoxa na Windowsie.
Adrozek we wszystkich swoich odmianach grasuje po Internecie od maja bieżącego roku. Złośnik zmienia pliki konfiguracyjne popularnych przeglądarek, by te wyświetlały swoim użytkownikom dodatkowe reklamy. Twórcy Adrozka w ten sposób zarabiają – otrzymują wypłaty za każde przekierowanie użytkownika na wspomniane reklamy. Dodatkowo, szkodnik kradnie zapisane dane logowania w przeglądarce – choć w tym wypadku tyczy się to tylko tych zapisanych w Firefoksie.
To zachowanie nie jest niczym nowym, wszak powstają tysiące szkodników wstrzykujących reklamy do przeglądarek. Microsoft, który zajęty jest walką z Adrozkiem i który swoim ostrzeżeniem zainspirował nas do tego tekstu, zwraca jednak uwagę na nietypową budowę tego szkodnika.
Adrozek jest szeroko rozprzestrzeniony.
Złośnik jest hostowany w momencie publikowanie tego tekstu na 159 różnych domenach z tysiącami różnorakich adresów. Jest przy tym polimorficzny, a więc stale modyfikuje swój kod, przez co jest dużo trudniejszy do wykrycia przez klasyczne oprogramowanie antywirusowe. Jego twórcy też dynamicznie zmieniają miejsca, w którym ten jest hostowany.
Infekcja Adrozkiem przebiega dwuetapowo. Pierwszy człon złośnika nie jest tym właściwym – służy do spenetrowania pierwszej warstwy zabezpieczeń przeglądarek internetowych celem pobrania drugiego członu. Ten z kolei modyfikuje zainstalowane rozszerzenia w przeglądarce. A więc podmienia te, które wykorzystuje użytkownik na siebie samego – często nawet zachowując ich funkcjonalność. Zmodyfikowane rozszerzenia pobierają wspomniane reklamy i wstrzykują je w otwartą przez użytkownika stronę bądź aplikację.
Ów drugi moduł modyfikuje też biblioteki przeglądarek – wyłączając ich mechanizmy zabezpieczające, sprawdzające integralność plików przeglądarki i jej rozszerzeń. Następnie infekuje samego Windowsa, wprowadzając do jego Rejestru moduły mające na celu pobranie go ponownie, jeżeli użytkownik jakimś sposobem się go pozbędzie.
Mechanizmy bezpieczeństwa Windowsa i Edge’a są już gotowe na Adrozka. Microsoft zaznacza jednak, że chronieni są tylko użytkownicy z aktualną wersją Windowsa. Siłą rzeczy niezałatane wersje systemu nie są bezpieczne.
