Adrozek, el nuevo virus que roba información y puede infectar más de 30 mil computadoras con Windows por día

Microsoft identificó un nuevo malware (virus) que secuestra información personal de navegadores como Google Chrome o Firefox y que llegó a infectar hasta 30 mil computadoras en un día: se llama Adrozek.

La forma de operar que tiene es a través de anuncios falsos en páginas cuando hacemos búsquedas en Microsoft Edge, Google Chrome, Yandex Browser y Mozilla Firefox, informó el sitio de seguridad informática Bleeping Computer.

“El malware utiliza scripts maliciosos descargados de servidores controlados por sus operadores para inyectar anuncios después de alterar la configuración y los componentes del navegador web secuestrado”, explicaron en la página de ciberseguridad.

Chrome, uno de los navegadores por los que entra Adrozek

Desde Microsoft explicaron que “para los usuarios que encuentren esta amenaza en sus dispositivos [con un antivirus] es recomendable volver a instalar sus navegadores”.

“Si no se detecta y bloquea, Adrozek agrega extensiones de navegador, modifica un DLL específico por navegador de destino y cambia la configuración del navegador para insertar anuncios adicionales no autorizados en páginas web, a menudo además de anuncios legítimos de motores de búsqueda”, cuentan.

Por eso, como medida de seguridad, conviene nunca abrir anuncios.

Los atacantes pueden cambiar fácilmente para infectar sus objetivos con cargas útiles maliciosas adicionales o vender su acceso para la entrega de malware a otras bandas de delitos informáticos.

“Cuando se ejecuta, el instalador coloca un archivo .exe con un nombre de archivo aleatorio en la carpeta% temp%. Este archivo coloca la carga útil principal en la carpeta Archivos de programa con un nombre de archivo que lo hace parecer un software legítimo relacionado con el audio. Hemos observado que el malware usa varios nombres como Audiolava.exe , QuickAudio.exe y converter.exe . El malware se instala como un programa habitual al que se puede acceder a través de Configuración> Aplicaciones y funciones , y se registra como un servicio con el mismo nombre”, explicó Microsoft en un comunicado oficial.

Cómo identificarlo

Microsoft difundió un mapa con los puntos más calientes del mundo donde se detectó Adrozek.

Foto Microsoft

“Los atacantes de Adrozek, sin embargo, operan de la forma en que lo hacen otros modificadores del navegador, que consiste en obtener ganancias a través de programas de publicidad afiliados, que pagan por el tráfico de referencia a ciertos sitios web”, agregó Microsoft.

“El efecto deseado es que los usuarios, que buscan determinadas palabras clave, hagan clic inadvertidamente en estos anuncios insertados por malware, que conducen a páginas afiliadas”, cierran.

“Los atacantes ganan a través de programas de publicidad afiliados, que pagan por la cantidad de tráfico referido a las páginas afiliadas patrocinadas”.

La seguridad del navegador

Los navegadores tienen configuraciones de seguridad que protegen contra la manipulación de malware.

En las preferencias hay datos confidenciales y configuraciones de seguridad. Los navegadores basados ​​en Chromium detectan cualquier modificación no autorizada a esta configuración a través de firmas y validación en varias preferencias.

Estas preferencias, así como los parámetros de configuración, se almacenan en el nombre de archivo “JSON Secure Preferences”: ahí ataca este virus.

Cientos de miles de dispositivos infectados

El virus también entra por Edge, el navegador de internet de Windows. Foto Microsoft

En total, esta campaña en curso ha utilizado hasta ahora 159 dominios para alojar “un promedio de 17.300 URL únicas” que entregaron más de 15.300 muestras de malware polimórfico (puede tener los nombres mencionados más arriba, para engañar) a dispositivos comprometidos, lo que llevó a que se implementaran cientos de miles de muestras en dispositivos infectados de mayo a septiembre de 2020.

Al ver que esta campaña masiva aún está activa y se extiende a nuevas computadoras cada día, la infraestructura de Adrozek aún se está expandiendo y agregando nuevos dominios.

“La infraestructura de distribución también es muy dinámica. Algunos de los dominios estuvieron activos solo por un día, mientras que otros estuvieron activos por más tiempo, hasta 120 días”, dijo Microsoft.

“Curiosamente, vimos que algunos de los dominios distribuían archivos limpios como Process Explorer, probablemente un intento de los atacantes de mejorar la reputación de sus dominios y URL, y evadir las protecciones basadas en la red”, explicaron.

Ver información original al respecto en Fuente>