瀏覽器是每個人電腦中一定會安裝的項目,而透過挾持瀏覽器來進行惡意行為似乎也是預期中遲早會發生的事情。 Microsoft 近日披露一支名為「Adrozek」的惡意軟體,會挾持包含 Chrome、Firefox 與 Edge 等瀏覽器,最鼎盛時期每天控制著至少 3 萬部設備。
Microsoft 揭露「Adrozek」惡意軟體,Chrome、Firefox 跟 Edge 都是它的挾持目標
如果你發現在自家電腦瀏覽器中上網時經常出現一些奇怪與異常的廣告,那你可得小心可能電腦無意中下載了惡意軟體,在 2020 年 5 月至 9 月間於全球偵測到的安裝次數達數十萬,推估實際受到感染的用戶數量比預期多更多,其中受害者多集中於歐洲,其次為南亞與東南亞。
這款名為「Adrozek」的惡意軟體至少從 2020 年 5 月間就開始活躍於網路上,並且在今年 8 月時達到巔峰。具體來說從 5 月開始,Microsoft 追蹤了 159 個託管 Adrozek 安裝程式的網域,而每個網域中平均還託管了 17,300 個動態生成網址,在每個網址中更多管了 15,300 個動態生成的 Adrozek 安裝程式。
Microsoft 表示,該惡意軟體透過典型的釣魚方式散佈,駭客將用戶從合法網站重新定向到可疑的域名,並誘騙用戶安裝惡意軟體。一但用戶電腦安裝後,Adrozek 會自動辨識電腦本機所安裝的瀏覽器,如果在受感染的電腦上發現包括 Microsoft Edge、Google Chrome、Mozilla Firefox 或 Yandex 瀏覽器,則惡意軟體會試圖透過修改瀏覽器應用程式數據文件夾來強制安裝擴展外掛。更陰險的是,為了避免瀏覽器的安全功能啟動並檢測到異常行為,Adrozek 還對一些瀏覽的的 DLL 文件進行修改,改變瀏覽器的設定並禁用安全功能,其中包含:
- 禁用瀏覽器更新
- 禁用檔案完整性檢查
- 禁用安全瀏覽功能
- 註冊並啟動在上一步驟中添加的擴展應用
- 允許惡意擴展在隱身模式下運行
- 允許在沒有獲得適當權限下運行擴展應用
- 於工具欄中隱藏擴展
- 修改瀏覽器的預設首頁
- 修改瀏覽器的預設搜尋引擎
所有這些行為的目的,都是為了能夠讓 Adrozek 在搜尋結果頁面中插入廣告,並且透過將流量導向廣告和推薦應用來獲取收入。更糟的是,在 Firefox 上,Adrozek 還具備了可從瀏覽器中提取個人密碼等憑證的輔助功能,並且將竊取的資料上傳到遠端伺服器上。
Microsoft 表示 Adrozek 的影響範圍很可能會再擴大,如果你發現自己的瀏覽器有上述異常,可能蒙受惡意軟體的危害,用戶可以重新安裝瀏覽器,但到底能不能因而徹底解決問題,官方目前還沒有具體的說明。
◎資料來源:Microsoft
