El jueves, Microsoft dio a conocer una campaña en curso que afecta a los navegadores web populares que inyecta sigilosamente anuncios infestados de malware en los resultados de búsqueda para ganar dinero a través de la publicidad de afiliados.
«Adrozek», como lo llama el equipo de investigación de Microsoft 365 Defender, emplea una «infraestructura de atacante dinámica y expansiva» que consta de 159 dominios únicos, cada uno de los cuales alberga un promedio de 17 300 URL únicas, que a su vez albergan más de 15 300 malware único. muestras
La campaña, que afecta a los navegadores Microsoft Edge, Google Chrome, Yandex Browser y Mozilla Firefox en Windows, tiene como objetivo insertar anuncios adicionales no autorizados además de los anuncios legítimos que se muestran en las páginas de resultados del motor de búsqueda, lo que lleva a los usuarios a hacer clic en estos anuncios sin darse cuenta.
Microsoft dijo que el malware modificador de navegador persistente se ha observado desde mayo de este año, con más de 30,000 dispositivos afectados todos los días en su punto máximo en agosto.
«Los ciberdelincuentes que abusan de los programas de afiliados no son nuevos: los modificadores de navegador son algunos de los tipos de amenazas más antiguos», dijo el fabricante de Windows. «Sin embargo, el hecho de que esta campaña utilice una pieza de malware que afecta a múltiples navegadores es una indicación de cómo este tipo de amenaza continúa siendo cada vez más sofisticado. Además, el malware mantiene la persistencia y filtra las credenciales del sitio web, exponiendo los dispositivos afectados a riesgos adicionales. «
Una vez colocado e instalado en los sistemas de destino a través de descargas no autorizadas, Adrozek procede a realizar múltiples cambios en la configuración del navegador y los controles de seguridad para instalar complementos maliciosos que se hacen pasar por genuinos mediante la reutilización de las ID de extensiones legítimas.
Aunque los navegadores modernos tienen controles de integridad para evitar la manipulación, el malware desactiva inteligentemente la función, lo que permite a los atacantes eludir las defensas de seguridad y explotar las extensiones para obtener scripts adicionales de servidores remotos para inyectar anuncios falsos y obtener ingresos al dirigir el tráfico a estos anuncios fraudulentos. paginas
Además, Adrozek va un paso más allá en Mozilla Firefox para llevar a cabo el robo de credenciales y exfiltrar los datos a servidores controlados por atacantes.
«Adrozek muestra que incluso las amenazas que no se consideran urgentes o críticas se vuelven cada vez más complejas», dijeron los investigadores.
«Y aunque el objetivo principal del malware es inyectar anuncios y dirigir el tráfico a ciertos sitios web, la cadena de ataque implica un comportamiento sofisticado que permite a los atacantes afianzarse en un dispositivo. La adición del comportamiento de robo de credenciales muestra que los atacantes pueden ampliar sus objetivos para aprovechar el acceso que pueden obtener.