マイクロソフトは木曜日、ウェブブラウザを改変して認証情報の盗難や広告詐欺を行うマルウェアを配布するキャンペーンが進行中であると警告した。
マイクロソフトによると、少なくとも2020年5月以降、正体不明のサイバー犯罪者が「Adrozek」と呼ばれるブラウザ変更ツール群を拡散しているという。このコードはWindows版Google Chrome、Microsoft Edge、Mozilla Firefox、Yandex Browserを標的とし、主に検索結果ページに広告を挿入する。
「検出されブロックされない場合、Adrozek はブラウザ拡張機能を追加し、ターゲットブラウザごとに特定の DLL を変更し、ブラウザ設定を変更して、多くの場合検索エンジンからの正当な広告の上に、Web ページに追加の不正な広告を挿入します」と Microsoft 365 Defender 研究チームはブログ投稿で述べています。
「意図された効果は、特定のキーワードを検索するユーザーが、マルウェアが挿入された広告を誤ってクリックし、関連ページに誘導することです。」
Chrome拡張機能は「新しいルートキット」だと研究者は述べ、イスラエルのレジストラGalcommによる監視キャンペーンを関連付けている
続きを読む
攻撃者は、特定のウェブページへのオンライントラフィックに対して報酬を支払う広告アフィリエイトプログラムへの参加を通じて収益を得ています。現時点では、これらの広告は他のマルウェアをホストするサイトを指しているようには見えませんが、Microsoftは状況がいつでも変わる可能性があると示唆しています。
Firefox では、Adrozek は被害者のデバイスをスキャンして保存されているユーザー認証情報を探し、見つけた情報を攻撃者に送信します。
このような攻撃や戦術は以前にも見られましたが、マイクロソフトによると、分散インフラストラクチャを介して複数のブラウザを標的とするキャンペーンの規模と複雑さは、サイバー犯罪者の取り組みがより洗練されていることを示しているとのことです。
マイクロソフトは、159の固有ドメインを検出したと発表しました。各ドメインは平均17,300の固有URLをホストしており、各URLには平均15,300以上の固有ポリモーフィック型マルウェアサンプルがホストされています。同社のシステムは、主にヨーロッパ、南アジア、東南アジアで、Adrozekマルウェアとの接触を数十万件測定しました。このキャンペーンは現在も継続中です。
この配布システムは、ダウンロード可能なソフトウェアを提供し、被害者はそれを知らず知らずのうちに実行してしまいます。インストーラーはランダムな名前の.exeファイルをドロップし、正規のオーディオソフトウェアを装った主要なペイロードをWindowsのProgram Filesフォルダにインストールします。インストールされたコードは、ブラウザの様々なコンポーネントと設定を変更し、広告挿入や認証情報の窃取を可能にします。
Adrozekは、Microsoft EdgeのMsEdge.dllなどのブラウザDLLも改変し、SecurePreferencesファイルへの変更が検知されないようにします。Chromiumベースのブラウザでは、改ざん防止に使用されるセキュリティ関連のハッシュ整合性チェックを改変します。また、改変したブラウザのアップデートを阻止するポリシーも追加します。
マイクロソフトは、Windows 10に同梱されているDefender AntivirusがAdrozekを防御できると発表しています。また、システム上でこのマルウェアを発見したユーザーには、ブラウザの再インストールを推奨しています。®
