[English]Das Microsoft 365-Sicherheitsteam weist auf eine Adrozek genannte Malware-Kampagne hin. Die Malware zielt auf populäre Browser wie Google Chrome, Microsoft Edge, Firefox etc. und versucht den Browser so zu manipulieren, dass Werbung bei einer Suche ausgespielt wird. Über diesen Ansatz versuchen die Hintermänner Einnahmen zu generieren. Europa scheint besonders betroffen.
Anzeige
Das Microsoft 365 Defender Research Team ist am Donnerstag, den 10. Dezember 2020 mit diesem Blog-Beitrag an die Öffentlichkeit gegangen. Mindestens Mai 2020 läuft eine hartnäckige Malware-Kampagne, die aktiv eine weiterentwickelte Browser-Modifier-Malware im großen Stil verbreitet. Auf ihrem Höhepunkt im August wurde die Bedrohung täglich auf über 30.000 Geräten beobachtet. Die Malware ist so konzipiert, dass sie Anzeigen in die Ergebnisseiten von Suchmaschinen einfügt (siehe Abbildung rechts).
(Quelle: Microsoft)
Die Malware bedroht mehrere Browser – Microsoft Edge, Google Chrome, Yandex Browser und Mozilla Firefox. Die Angreifer versuchen so viele Internetnutzer wie möglich zu erreichen. Microsoft bezeichnet diese Familie von Browser-Modifikatoren Adrozek.
Wird die Malware nicht erkannt und blockiert, fügt Adrozek Browser-Erweiterungen hinzu, modifiziert eine bestimmte DLL pro Zielbrowser und ändert die Browser-Einstellungen. Ziel ist es, zusätzliche, nicht autorisierte Werbung in Webseiten einzufügen, oft zusätzlich zu legitimer Werbung von Suchmaschinen.
Der beabsichtigte Effekt ist, dass Benutzer, die nach bestimmten Schlüsselwörtern suchen, versehentlich auf diese von der Malware eingefügten Anzeigen klicken, die zu den verlinkten Seiten führen. Die Angreifer verdienen durch Affiliate-Werbeprogramme, die nach der Menge des Traffics zahlen, der auf gesponserte, angeschlossene Seiten weitergeleitet wird.
Eine solche weitreichende Kampagne erfordert eine umfangreiche, dynamische Infrastruktur der Angreifer. Microsofts Sicherheitsforscher haben 159 eindeutige Domains verfolgt, von denen jede durchschnittlich 17.300 eindeutige URLs hostet, die wiederum im Durchschnitt mehr als 15.300 eindeutige, polymorphe Malware-Samples hosten.
(Adrozek-Verteilung Quelle: Microsoft)
Insgesamt verzeichneten die Sicherheitsforscher von Microsoft im Zeitraum Mai bis September 2020 weltweit Hunderttausende von 'Treffern' der Adrozek-Malware. Dabei gibt es eine starke Konzentration in Europa sowie in Süd- und Südostasien. Da diese Kampagne noch andauert, wird sich diese Infrastruktur sicherlich noch weiter ausdehnen.
Anzeige
Das passiert bei einer Infektion?
Das Installationsprogramm der Malware legt eine .exe-Datei mit einem zufälligen Dateinamen im Ordner %temp% ab. Diese Datei installiert die Hauptnutzlast im Ordner "Programme" und verwendet einen Dateinamen, der den Anschein erweckt, dass es sich um eine legitime Audio-Software handelt.
(Adrozek-Dateien, Quelle: Microsoft)
Die Malware verwendet zwar verschiedene Namen wie Audiolava.exe, QuickAudio.exe und converter.exe. Sie wird aber wie ein gewöhnliches Programm installiert, auf das über Einstellungen>Apps & Funktionen zugegriffen werden kann.
(Adrozek in Apps & features, Quelle: Microsoft)
Dort lässt sich sich mit dem registrierten Dienst deinstallieren. Allerdings trägt Adrozek in vorhandene Browser-Erweiterungen ein Script ein. Obwohl die Malware auf unterschiedliche Erweiterungen in den einzelnen Browsern abzielt, fügt sie die gleichen bösartigen Skripte zu diesen Erweiterungen hinzu. In einigen Fällen ändert die Malware die Standarderweiterung, indem sie sieben JavaScript-Dateien und eine manifest.json-Datei zum Dateipfad der Zielerweiterung hinzufügt. In anderen Fällen erstellt sie einen neuen Ordner mit denselben bösartigen Komponenten.
Zudem versucht die Malware verschiedene Browser-DLLs zu ersetzen und Sicherheitseinstellungen der Browser zu manipulieren. Die Beschreibung Microsofts zu Adrozek zeigt, dass selbst Browser-Hijacker, die nicht als kritisch angesehen werden, zunehmend komplexer werden. Während das Hauptziel der Malware darin besteht, Werbung einzuschleusen und den Datenverkehr auf bestimmte Websites zu verlinken, umfasst die Angriffskette ausgeklügelte Verhaltensweisen. Diese sollen es den Angreifern ermöglichen, die Malware auf dem Gerät stark einzunisten. Die Hinzufügung von Funktionen, um Anmeldeinformationen abzugreifen zeigt, dass die Cyber-Kriminellen ihre Ziele erweitern können, um weiteres Unheit anzurichten.
Adrozek erkennen und entfernen
Laut Microsoft erkennt der Windows Defender (und damit wohl auch weitere Microsoft-Produkte, die die gleiche Malware-Engine verwenden) den Schädling und blockiert eine Installation. Endanwendern, die diesen Schädling auf ihren Geräten finden, wird von Microsoft empfohlen, ihre Browser neu zu installieren.
In Anbetracht der massiven Infrastruktur, die für die Verbreitung von Adrozek genutzt wurde, sollten sich Anwender auch über die Vermeidung von Malware-Infektionen und die Risiken des Herunterladens und Installierens von Software aus nicht vertrauenswürdigen Quellen sowie des Anklickens von Werbung oder Links auf verdächtigen Websites informieren.
Benutzer sollten auch die Vorteile von URL-Filterlösungen, wie z. B. Microsoft Defender SmartScreen auf Microsoft Edge, nutzen. Zudem empfiehlt Microsoft Sicherheitssoftware zum automatischen Herunterladen und Installieren von Updates zu konfigurieren. Außerdem sollten die neuesten Versionen des Betriebssystems und der Anwendungen und das Einspielen der neuesten Sicherheitsupdates beitragen, die Systeme vor solchen Bedrohungen zu schützen.
Für Unternehmen sollten Administratoren darauf achten, die Angriffsfläche für diese Arten von Bedrohungen zu reduzieren. Dazu gehört auch, dass Administratoren die Verwendung von ausschließlich autorisierten Anwendungen und Diensten erzwingen. Browser der Enterprise-Klasse wie Microsoft Edge bieten zusätzliche Sicherheitsfunktionen wie bedingten Zugriff und Application Guard, die Bedrohungen im Browser abwehren. Weitere Details sind dem Microsoft Beitrag zu entnehmen. (via)
2015
