Microsoft vừa mới ra cảnh báo về một chiến dịch đang diễn ra về một phần mềm có chứa mã độc có thể chiếm quyền điều khiển trình duyệt và đánh cắp thông tin đăng nhập mới có tên là Adrozek. Vào thời điểm đỉnh cao nó có thể chiếm hơn 30.000 thiết bị mỗi ngày. Adrozek sẽ đưa quảng cáo vào các trang kết quả của công cụ tìm kiếm và nó có thể chiếm quyền điều khiển Microsoft Edge, Google Chrome, Yandex Browser và Mozilla Firefox trên các máy tính bị xâm nhập.
Phần mềm này sử dụng các malicious scripts (tập lệnh có chứa mã độc) được tải xuống từ các máy chủ do các hacker kiểm soát để đưa vào quảng cáo sau khi thay đổi cài đặt và thành phần của trình duyệt web bị tấn công.
Mặc dù Microsoft vẫn chưa tìm thấy bằng chứng về việc Adrozek được sử dụng để đẩy phần mềm mã độc vào máy tính của nạn nhân thông qua các quảng cáo được đưa vào, nhưng điều này có thể xảy ra bất cứ lúc nào. Hacker cũng có thể dễ dàng làm tăng sự nguy hại bằng cách bổ sung các đoạn mã độc khác hoặc bán quyền truy cập cho các băng nhóm tội phạm mạng khác.
Hàng trăm nghìn thiết bị bị nhiễm
Tổng cộng trong đợt tấn công này hacker đã sử dụng 159 miền để lưu trữ khoảng 17.300 URL riêng lẽ, cung cấp hơn 15.300 mẫu phần mềm độc hại xâm chiếm các thiết bị, dẫn đến hàng trăm nghìn mẫu được triển khai trên các thiết bị bị nhiễm từ tháng 5 đến tháng 9 năm 2020.
Theo Microsoft, chiến dịch này vẫn đang hoạt động và lây lan sang các máy tính mới mỗi ngày, cơ sở hạ tầng của Adrozek vẫn đang tiếp tục mở rộng và thêm các miền máy chủ mới được sử dụng để đưa các phần mềm độc hại mới vào.
“Cơ sở hạ tầng phân phối cũng rất năng động. Một số miền chỉ hoạt động trong một ngày, trong khi những miền khác hoạt động lâu hơn, lên đến 120 ngày”, Microsoft cho biết.
Khả năng của Adrozek
Trong khoảng thời gian từ tháng 5 đến tháng 9 năm 2020, những kẻ tấn công đằng sau chiến dịch phần mềm mã độc Adrozek đã lây nhiễm các mục tiêu của chúng thông qua các lần tải xuống khi chúng sử dụng một trong số 159 miền được sử dụng để đẩy hàng trăm nghìn mẫu Adrozek. Là một dòng phần mềm độc hại đa hình, Adrozek cũng sẽ tránh bị phát hiện và nó cũng giúp các hacker dễ dàng triển khai khối lượng lớn các mẫu mới vào thệ thống phân phối các malware.
“Trong khi nhiều miền lưu trữ hàng chục nghìn URL, một số miền có hơn 100.000 URL duy nhất, với một miền lưu trữ gần 250.000”, Microsoft nói thêm.
Cơ sở hạ tầng khổng lồ này phản ánh những kẻ tấn công quyết tâm giữ chiến dịch này hoạt động như thế nào.”
Các máy tính của nạn nhân được cung cấp một tập lệnh thực thi độc hại lưu trong thư mục% temp% của máy tính, một tập nhị phân sau đó sẽ tải xuống và cài đặt và nó được ngụy trang dưới dạng phần mềm âm thanh hợp pháp trong Program File.
Sau khi được cài đặt trên thiết bị, Adrozek sẽ bắt đầu thêm các tập lệnh độc hại mà nó sử dụng để đưa quảng cáo vào một số tiện ích mở rộng được nhắm mục tiêu cho từng trình duyệt mà nó chiếm đoạt. Phần mềm độc hại sẽ tắt các kiểm soát bảo mật trên Microsoft Edge và các trình duyệt web dựa trên Chromium khác, tắt duyệt web an toàn và bật các tiện ích bị xâm nhập ở chế độ ẩn danh. Nó cũng sẽ vô hiệu hóa cập nhật trình duyệt tự động trên các máy tính bị nhiễm bệnh để đảm bảo rằng các thành phần trình duyệt bị xâm nhập không được khôi phục về phiên bản sạch. Adrozek thêm các mục đăng ký và tạo một Dịch vụ Windows mới có tên “Main Service” để tự động khởi chạy tải phần mềm độc hại chính khi khởi động hệ thống.
Trên các hệ thống có cài đặt Mozilla Firefox, Adrozek cũng sẽ lấy cắp thông tin đăng nhập người dùng đã được mã hóa từ hồ sơ Firefox của nạn nhân, thông tin đăng nhập mà sau này nó sẽ giải mã để gửi cho hacker.
“Với chức năng bổ sung này, Adrozek tự tạo sự khác biệt với các công cụ sửa đổi trình duyệt khác và chứng minh rằng không có cái gọi là các mối đe dọa có mức độ ưu tiên thấp hoặc không khẩn cấp”, Microsoft kết luận.
“Và trong khi mục tiêu chính của phần mềm độc hại là đưa quảng cáo và chuyển lưu lượng truy cập đến một số trang web nhất định, thì chuỗi tấn công tinh vi này khiến phần mềm độc này khó có thể bị tiêu diệt trên các thiết bị.”
Theo bleepingcomputer.com
