شرکت مایکروسافت به کاربران درباره یک بدافزار سرقت اطلاعات جدید به نام “Adrozek” هشدار داده است. این شرکت گفته امکان این که روزانه بیش از ۳۰ هزار دستگاه به این بدافزار آلوده شوند نیز وجود دارد.
عملکرد بدافزار Adrozek به این صورت است که در سیستمهای آلوده، آگهیهایی نمایش داده و میتواند کنترل مرورگرها را در اختیار بگیرد. این بدافزار از اسکریپتهای مخربی که از سرورهای تحت کنترل مهاجمان دانلود میشود استفاده میکند تا بتواند با ایجاد تغییرات در تنظیمات و اجزای مختلف مرورگر، آگهیهای دلخواه مهاجمان سایبری را نمایش دهد.
تیم تحقیقاتی Microsoft 365 Defender اعلام کرده است: «به کاربران توصیه میشود که مرورگرشان را دوباره نصب کنند. همچنین اگر Adrozek شناسایی و مسدود نشود میتواند یک افزونه به مرورگر اضافه کند، یک فایل DLL خاص که شامل توابع، کدها، منابع (عکس، آیکون و …) و دادههایی است که به توسعه دهندگان و برنامه نویسان این امکان را میدهد تا به آنها لینک زده و از توابع شان در برنامههای خود استفاده کنند را در مرورگر تغییر داده و تنظیمات آن را به گونهای تنظیم کند که امکان نمایش آگهیهای غیرمجاز اضافه در صفحات وب که معمولاً روی تبلیغات عادی نمایش داده میشود، فراهم کند».
اگرچه مایکروسافت هنوز هیچ گونه شواهدی مبنی بر استفاده از Adrozek برای نصب بدافزار در سیستمهای قربانی با کمک این آگهیها مشاهده نکرده اما متخصصان سایبری بر این باورند که ممکن است این اتفاق در هر لحظه و زمانی رخ دهد. مهاجمان از طریق این بدافزار میتوانند به راحتی اهداف شان را با جایگذاری پیلودهای مخرب بر روی سیستم های قربانیان خود دنبال کنند.
شرکت مایکروسافت اعلام کرده: «عملکرد Adrozek شبیه سایر ابزارهای تغییر مرورگر است که معمولاً از طریق طرحهای فروش مشارکتی درآمدزایی نموده و با هدایت ترافیک به سمت وب سایتهایی خاص، از آنها کارمزد دریافت میکنند. با توجه به اینکه هنوز هم این کمپین فعال است میتوان گفت زیرساخت Adrozek همچنان در حال توسعه است. نکته جالبی که وجود دارد این است که بعضی از این دامنهها فایلهای سالمی مثل Process Explorer را منتشر میکردند.
مهاجمان در این مدت، هر زمان سیستمی به یکی از ۱۵۹ دامنه مورد تحت کنترل آنها هدایت میشده است را با روش «درایوبای دانلود» آلوده کرده و سپس اقدام به نصب بدافزار بر روی آن میکردند. Adrozek که یک بدافزار چندوجهی است به مهاجمان این امکان را میدهد تا تعداد زیادی از نمونههای جدید این بدافزار را روی زیرساختهای خودشان پیاده سازی کنند.لازم به ذکر است این بدافزار، یک فایل اجرایی مخرب در پوشه %temp% سیستم ذخیره میکند.فایل با ظاهر یک نرم افزار صوتی سالم در Program Files نصب میکند.
پس از نصب Adrozek بر روی سیستم قربانی، این بدافزار شروع به اضافه کردن اسکریپتهای مخرب برای تزریق تبلیغات در مرورگرهای مختلف میکند. این بدافزار باعث غیرفعال شدن تنظیمات امنیتی در IE و سایر مرورگرها میشود. در این حالت، تاریخچه وب گردیهای مهاجم و همچنین کوکیها دیگر ذخیره نخواهند شد.این بدافزار همچنین می تواند بهروزرسانیهای خودکار مرورگر را غیرفعال کند. Adrozek با اضافه کردن مقادیری در رجیستری ویندوز سعی میکند حضور خودش را بر روی رایانه قربانی دایمی کند. در سیستمهایی با مرورگر فایرفاکس، Adrozek می تواند اطلاعات حسابهای کاربری را هم سرقت کند. سپس بعد از رمزنگاری آنها را برای مهاجمان ارسال کند.شرکت مایکروسافت اعلام کرده است: « چیزی به اسم تهدید غیرفوری یا با اولویت کم وجود ندارد. هدف اصلی این بدافزار، تزریق تبلیغات و هدایت ترافیک به سمت وب سایتهای خاص است».
