Microsoft ha diffuso un avvertimento riguardante un nuovo ceppo di malware in grado di infettare i browser degli utenti per introdurre pubblicità non volute tra i risultati delle ricerche. Adrozek, questo il nome, controllerebbe ogni giorno decine di migliaia di PC.
Secondo Microsoft, Adrozek sarebbe attivo almeno da maggio 2020 e ha raggiunto il suo picco più grande in agosto quando ogni giorno controllava più di 30.000 computer sparsi per il globo. Basandosi sui dati raccolti, Microsoft afferma che sia principalmente diffuso in Europa e nell’area sud e sud-est del continente asiatico.
Il team di ricerca di Microsoft 365 Defender, tuttavia, crede che il numero di dispositivi colpiti sia incredibilmente alto. Tra maggio e settembre 2020 il team avrebbe osservato centinaia di migliaia di segnalazioni di Adrozek da varie parti del mondo.
Le modifiche conosciute apportate da Adrozek ai PC infettati includono:
- Disabilitazione degli aggiornamenti del browser
- Disabilitazione dei controlli di integrità dei file
- Disabilitazione della funzione Safe Browsing
- Registrazione e attivazione dell’estensione che hanno aggiunto in una fase precedente
- Consente l’esecuzione in incognito della loro estensione malevola
- Permettere il funzionamento dell’estensione senza ottenere le autorizzazioni appropriate
- Nasconde l’estensione dalla barra degli strumenti
- Modifica della home page predefinita del browser
- Modifica del motore di ricerca predefinito del browser
Lo scopo di Adrozek è quello di consentire ai creatori di guadagnare dirigendo il traffico verso i programmi di pubblicità e affiliazione.
Microsoft afferma che, attualmente, il malware viene distribuito tramite i classici schemi di download drive-by. Gli utenti vengono di solito reindirizzati da siti legittimi a domini poco sicuri dove vengono ingannati per installare il software dannoso.
“Mentre molti dei domini ospitavano decine di migliaia di URL, alcuni avevano più di 100.000 URL unici, di cui uno ne ospitava quasi 250.000″. Questa massiccia infrastruttura riflette la determinazione degli aggressori a mantenere operativa questa campagna“, ha dichiarato Microsoft. “Anche l’infrastruttura di distribuzione è molto dinamica. Alcuni domini sono rimasti attivi per un solo giorno, mentre altri sono rimasti attivi più a lungo, fino a 120 giorni“.
Chi dovesse rendersi conto di essere colpito dal malware come soluzione ha a disposizione solo la reinstallazione del browser, ricorda l’azienda di Redmond.