دقت مايكروسوفت ناقوس الخطر اليوم بشأن سلالة جديدة من البرامج الضارة تصيب أجهزة المستخدمين ثم تشرع في تعديل المتصفحات وإعداداتها من أجل حقن الإعلانات في صفحات نتائج البحث.
البرنامج الضار، المسمى Adrozek، نشط منذ مايو 2020 على الأقل ووصل ذروته المطلقة في أغسطس من هذا العام عندما كان يتحكم في أكثر من 30 ألف متصفح كل يوم.
ولكن في تقرير صدر اليوم، يعتقد فريق Microsoft 365 Defender Research أن عدد المستخدمين المصابين أعلى من ذلك بكثير، وأضاف باحثو مايكروسوفت إنهم لاحظوا بين مايو وسبتمبر 2020 “مئات الآلاف” من اكتشافات Adrozek في جميع أنحاء العالم.
استنادًا إلى القياس الداخلي عن بُعد، يبدو أن أعلى تركيز للضحايا يقع في أوروبا، تليها جنوب وجنوب شرق آسيا.
مايكروسوفت: كيف ينتشر ADROZEK ويعمل
تقول Microsoft أنه حاليًا يتم توزيع البرامج الضارة عبر أنظمة تنزيل كلاسيكية من محرك الأقراص ويتم عادةً إعادة توجيه المستخدمين من المواقع الشرعية إلى المجالات المشبوهة حيث يتم خداعهم لتثبيت برامج ضارة.
يقوم برنامج boobytrapped بتثبيت برامج Androzek الضارة والتي تتابع بعد ذلك للحصول على استمرار إعادة التشغيل بمساعدة مفتاح التسجيل.
بمجرد التأكد من الثبات، ستبحث البرامج الضارة عن المتصفحات المثبتة محليًا مثل Microsoft Edge أو Google Chrome أو Mozilla Firefox أو متصفح Yandex.
إذا تم العثور على أي من هذه المتصفحات على مضيفين مصابين، فستحاول البرامج الضارة فرض تثبيت ملحق عن طريق تعديل مجلدات بيانات المتصفح.
للتأكد من أن ميزات أمان المتصفح لا تعمل واكتشاف التعديلات غير المصرح بها، يقوم Adrozek أيضًا بتعديل بعض ملفات DLL الخاصة بالمتصفحات لتغيير إعدادات المتصفح وتعطيل مميزات الأمان.
أهم صور الإصابة التي يحدثها Adrozek ما يلي:
- تعطيل تحديثات المتصفح
- تعطيل عمليات التحقق من سلامة الملف
- تعطيل ميزة التصفح الآمن
- تسجيل وتفعيل الامتداد الذي قاموا بإضافته في الخطوة السابقة
- السماح للإضافات الضارة بالعمل في وضع التصفح المتخفي
- السماح بتشغيل الامتداد دون الحصول على الأذونات المناسبة
- إخفاء الامتداد من شريط الأدوات
- تعديل الصفحة الرئيسية الافتراضية للمتصفح
- تعديل محرك البحث الافتراضي للمتصفح
يتم كل هذا للسماح لـ Adrozek بضخ الإعلانات في صفحات نتائج البحث، وهي الإعلانات التي تسمح لعصابة البرامج الضارة بالحصول على إيرادات من خلال توجيه حركة المرور نحو برامج إحالة الإعلانات وحركة المرور.
ولكن إذا لم يكن هذا سيئًا بما فيه الكفاية، تقول Microsoft أن Adrozek في Firefox يحتوي أيضًا على
ميزة ثانوية تستخرج بيانات الاعتماد من المتصفح وتحميل البيانات إلى خوادم المهاجم.
عملية ضخمة يتوقع أن تنمو أكثر
تقول Microsoft إن عملية Adrozek معقدة للغاية، وخاصة فيما يتعلق بالبنية التحتية للتوزيع.
وقال أحد صناع نظم التشغيل إنه تتبع 159 نطاقًا استضافت مثبتات Adrozek منذ مايو 2020. استضاف كل نطاق في المتوسط 17300 عنوان URL تم إنشاؤه ديناميكيًا، واستضاف كل عنوان URL أكثر من 15300 من مثبتات Adrozek التي تم إنشاؤها ديناميكيًا.
وأضافت Microsoft في حين أن العديد من المجالات استضافت عشرات الآلاف من عناوين URL، كان عدد قليل منها يحتوي على أكثر من 100000 عنوان URL فريد، مع واحد يستضيف ما يقرب من 250.000 تعكس هذه البنية التحتية الضخمة مدى تصميم المهاجمين على استمرار تشغيل هذه الحملة الشرسة
“البنية التحتية للتوزيع ديناميكية للغاية أيضًا وبعض النطاقات كانت تعمل ليوم واحد فقط، بينما كان البعض الآخر نشطًا لفترة أطول، حتى 120 يومًا.”
وبشكل عام، نظرًا لاستخدامها الغزير وتعدد أشكال تدوير حمولات البرامج الضارة والبنية التحتية للتوزيع باستمرار، تتوقع Microsoft أن تنمو عملية Adrozek بشكل أكبر في الأشهر المقبلة.
وتابعت مايكروسوفت اليوم: “يُنصح المستخدمون الذين يجدون هذا التهديد على أجهزتهم بإعادة تثبيت متصفحاتهم”.
مقالات مشابهة