یک حمله گسترده بدافزاری جدید، کاربران مرورگرهای Chrome، Firefox، Edge و Yandex را مورد هدف قرار داد. در این حمله، مهاجمان در کنار نتایج حقیقی پیدا شده، تبلیغات قرار میدهند. تیم تحقیقاتی Microsoft Defender، یک کمپین بدافزاری جدید را شناسایی کرده است که محبوبترین مرورگرها را برای کسب درآمد تبلیغاتی از طریق عوامل بدافزاری، مورد هدف قرار داده اند. درحالیکه به نظر میرسد برای کاربران ضرری نداشته باشد، رفتار پیچیده بدافزار نشان میدهد که از این طریق میتوانند به اطلاعات دستگاه ویندوزی شما، دسترسی عمیقتری پیدا کنند.
مایکروسافت در این هفته، در رابطه با یک کمپین بدافزاری گسترده که شامل نفوذ روزانه به محبوبترین مرورگرهای وب در دهها هزار دستگاه میشود، هشدار داده است. مهاجمان میتوانند کاملا بی صدا، در سیستم کامپیوتری کاربران تغییراتی را اعمال کنند تا تبلیغات را در نتایج جستجوی آنها وارد کنند و درآمد قابل توجهی را از این طریق به دست آورند.
این بدافزار که مرورگرها موردهدف قرار داده است، اولین بار در ماه می مشاهده شد و نام آن Adrozek است.
مهاجمان از بیش از ۱۰۰ نام دامنه که به طور متوسط ۱۷۳۰۰ آدرس URL را میزبانی میکنند، استفاده میکنند. محققان مایکروسافت اعلام میکنند که بیش از ۱۵۳۰۰ نمونه بدافزار منحصر به فرد، یافته اند. محققان توانسته اند تنها در مدت ۵ ماه، صدها هزار نمونه از Adrozek را در سراسر جهان، به خصوص در مناطق اروپا، آسیای جنوبی و آسیای جنوب شرقی کشف کنند.
روش انجام حمله توسط این بدافزار
روش استفاده شده توسط مهاجمان، روش جدیدی نیست، ولی این اواخر به گونهای پیچیده شده اند که میتوانند روی چندین مرورگر به صورت همزمان، که شامل مرورگرهای Google Chrome، Microsoft Edge، Mozilla Firefox و Yandex میشود، تاثیر بگذارند. نحوه عملکرد Adrozek به این صورت است که در ابتدا افزونههای مرورگر را اضافه میکند و سپس فایلهای DLL خاصی از مرورگر شما را تغییر میدهد. درنتیجه، مهاجمان امتیاز تغییر تنظیمات سیستم شما را به دست میآورند. از این طریق، میتوانند تبلیغات اضافی در بالای نتایج حقیقی ایجاد شده در صفحهای که شما بازدید میکنید، ایجاد کنند.
بدافزار Adrozek، روی موتورهای جستجویی شبیه به گوگل که در آن مهاجمان میتوانند کاربران را بر اساس کلمات کلیدی که جستجو میکنند، مورد هدف قرار دهند، تاثیر به خصوصی دارد. همانطور که در تصویر بالا مشاهده میکنید، کاربر معمولا نتایج جستجویی را که توسط چند لینک وابسته در ابتدا قرار دارد، مشاهده میکند. هرچه تعداد افراد بیشتری روی این لینکها کلیک کنند، مهاجمان میتوانند از میزان ترافیکی که به آن صفحات اسپانسری وارد میکنند، درآمد بیشتری کسب کنند.
مایکروسافت توضیح میدهد که Adrozek به راحتی میتواند با تزریق Payload های مخرب اضافی و استفاده از اطلاعات کاربری وب سایت، خرابیهای بیشتری برای سیستم کامپیوتری شما به ارمغان بیاورد. زیرساخت این حملات به گونهای است که بدافزار میتواند برای اینکه بیشتر قانونی به نظر برسد، نام دامنه را به صورت پویا تغییر دهد.
روش حل این مشکل
اگر روی سیستم خود با چنین موردی برخورد کردید، یک راه حل پیشنهادی این است که مرورگرهایی که استفاده میکنید را پاک کرده و مجددا نصب کنید و درباره نحوه مقابله با نفوذ بدافزارهایی مانند این، بیشتر مطالعه کنید.