Una campagna di malware persistente sta attivamente distribuendo su larga scala un evoluto malware di tipo browser modifier, almeno dal mese di maggio 2020: a lanciare l’allarme è il Microsoft 365 Defender Research Team sul blog della società di Redmond dedicato alla sicurezza.
Al suo culmine, in agosto, la minaccia è stata osservata ogni giorno su oltre 30.000 dispositivi.
Il malware, ha sottolineato Microsoft, è progettato per iniettare annunci pubblicitari nelle pagine dei risultati dei motori di ricerca.
Questa minaccia informatica colpisce diversi browser, tra cui Microsoft Edge, Google Chrome, Yandex Browser e Mozilla Firefox, e ciò dimostra l’intento degli aggressori di raggiungere il maggior numero possibile di utenti Internet.
Questa famiglia di browser modifier è stata denominata Adrozek. Se il malware non viene rilevato e bloccato, Adrozek aggiunge estensioni del browser, modifica una DLL specifica per i browser target e modifica le impostazioni dei browser per inserire ulteriori annunci non autorizzati nelle pagine web, spesso in aggiunta a quelli legittimi dei motori di ricerca.
L’effetto previsto da parte dei cyber-attacker è che gli utenti alla ricerca di determinate parole chiave facciano inavvertitamente clic su questi annunci inseriti dal malware, che a loro volta portano a pagine affiliate. Gli aggressori guadagnano attraverso i programmi di affiliazione sulla pubblicità, che prevedono il pagamento in base alla quantità di traffico generato.
Che ci siano criminali informatici che abusano dei programmi di affiliazione non è una novità e i malware modificatori dei browser sono tra i tipi di minacce più vecchi.
Tuttavia, mette in evidenza Microsoft, il fatto che questa campagna utilizzi un malware che colpisce più browser è un’indicazione di come questo tipo di minaccia continui a diventare sempre più sofisticato. Inoltre, il malware mantiene la persistenza ed esfiltra le credenziali del sito web, esponendo i dispositivi interessati a rischi aggiuntivi.
Una campagna così sostenuta e di vasta portata richiede un’infrastruttura di attacco dinamica ed espansiva, osserva il Microsoft 365 Defender Research Team, che ha monitorato 159 domini unici, ognuno dei quali che ospita una media di 17.300 URL unici che a loro volta ospitano in media più di 15.300 campioni di malware polimorfici unici.
In totale, da maggio a settembre 2020, il team di Microsoft ha registrato centinaia di migliaia di rilevazioni del malware Adrozek in tutto il mondo, con una forte concentrazione in Europa e in Asia meridionale e sud-est asiatico.
Poiché questa campagna è in corso, questa infrastruttura è destinata ad espandersi ulteriormente, avvisa Microsoft, che sul suo security blog approfondisce in dettaglio le caratteristiche di questo cyber-attacco.
