Microsoft ha alertado de una campaña en curso que afecta a los navegadores web más populares. «Adrozek», como lo llama el equipo de investigación de Microsoft 365 Defender, inyecta sigilosamente anuncios infestados de malware en los resultados de búsqueda para ganar dinero a través de los programas publicitarios de marketing de afiliados.
Adrozek emplea una «infraestructura de atacantes dinámica y expansiva» que consta de 159 dominios únicos, cada uno de los cuales alberga un promedio de 17.300 URL únicas, que a su vez albergan más de 15.300 muestras de malware único.
La campaña afecta a los navegadores Microsoft Edge, Google Chrome, Yandex Browser y Mozilla Firefox para Windows, y tiene como objetivo insertar anuncios adicionales no autorizados en la parte superior de los anuncios legítimos que se muestran en las páginas de resultados de los motores de búsqueda, lo que lleva a los usuarios a hacer clic en estos anuncios sin darse cuenta.
Microsoft dijo que esta campaña de malware persistente se ha observado desde mayo de este año, con más de 30.000 dispositivos afectados todos los días en su punto máximo en agosto. Si no se detecta y bloquea, Adrozek agrega extensiones de navegadores, modifica una DLL específica y cambia la configuración del navegador para insertar anuncios adicionales no autorizados en páginas web, a menudo sumados a los anuncios legítimos de motores de búsqueda.
Una vez instalado en los sistemas de destino (generalmente a través de descargas no autorizadas) Adrozek procede a realizar varios cambios en la configuración del navegador y los controles de seguridad para instalar complementos maliciosos que se hacen pasar por genuinos al reutilizar los ID de extensiones legítimas.
El efecto previsto es que los usuarios, que buscan determinadas palabras clave, hagan clic inadvertidamente en estos anuncios insertados con malware, que conducen a páginas afiliadas. Los atacantes ganan dinero a través de programas publicitarios de marketing de afiliados, que pagan por la cantidad de tráfico referido a las páginas afiliadas patrocinadas.
Aunque los navegadores modernos tienen controles de integridad para evitar la manipulación, el malware deshabilita esta función, lo que permite a los atacantes eludir las defensas de seguridad y explotar las extensiones para obtener scripts adicionales de servidores remotos para inyectar los anuncios falsos.
El abuso de estos programas de afiliados por los ciberdelincuentes no es nada nuevo y son algunos de los tipos de amenazas más antiguos. “Sin embargo, el hecho de que esta campaña utilice un malware que afecta a múltiples navegadores es una indicación de cómo este tipo de amenazas ha evolucionado y cada vez es más sofisticada. Además, el malware mantiene la persistencia y filtra las credenciales del sitio web, exponiendo los dispositivos afectados a riesgos adicionales”, explica Microsoft.
Adrozek va un paso más allá en Mozilla Firefox para llevar a cabo el robo de credenciales y filtrar los datos a servidores controlados por atacantes. “Adrozek muestra que incluso las amenazas que no se consideran urgentes o críticas son cada vez más complejas. Y si bien el objetivo principal del malware es inyectar anuncios y derivar tráfico a ciertos sitios web, la cadena de ataque implica un comportamiento sofisticado que permite a los atacantes afianzarse firmemente en un dispositivo”, explican los investigadores.
Fuente: https://blog.segu-info.com.ar/2020/12/adrozek-inyecta-anuncios-con-malware-en.html