Bajo el nombre de Adrozek, un nuevo malware (al menos detectado como nuevo) ha estado infectando miles de dispositivos en los últimos meses. Una vez consigue infiltrarse dentro de un ordenador, modifica el navegador para llenarlo de anuncios en los resultados de búsqueda del usuario. Esto es lo que Microsoft ha descubierto sobre él.
Según ha compartido la compañía, el malware ha estado activo al menos desde mayo de este 2020. Calculan que para agosto de este año estaba controlando alrededor de 30.000 navegadores cada día. Creen que ese fue su pico, aunque aún sigue presente. Según han podido estimar, entre mayo y septiembre pudieron observar cientos de miles de dispositivos con Adrozek.
Gracias a las herramientas internas del equipo de investigación de seguridad en Microsoft 365, podemos ver qué áreas del mundo han sido las más afectadas. El malware al parecer se ha distribuido con especial fuerza en Europa, donde se encuentra la mayor parte de los dispositivos infectados. También los hay en India y en el sudeste asiático, así como pequeños rastros en América del Sur y otras partes del mundo.
Según las investigaciones que han realizado, creen que la distribución de Adrozek es muy sofisticada. Han podido detectarlo en casi 160 páginas distintas que lo distribuyen con más de 15.000 instaladores que contienen el malware. Además, los atacantes renuevan con URLs dinámicas contínuamente la distribución para evitar ser detectados. Necesitamos otro héroe anónimo que lo desintale en remoto.
Cómo infecta Adrozek un dispositivo y qué hace después
Según las investigaciones de Microsoft, el malware llega a un ordenador mediante la descarga e instalación del software desde páginas online. Normalmente se hace pasar por otro programa y una vez está instalado comienza a operar. Es por ello que siempre se recomienda instalar aplicaciones desde tiendas de apps oficiales o distribuidores verificados.
Una vez dentro del ordenador lo primero que hace es asegurarse de que se mantiene en el ordenador a pesar de que se reinicie o borre contenido (por suerte no al nivel del malware para Android que se reinstala aunque se restaure el móvil). Para ello obtiene una clave de registro. Cuando tiene eso conseguido se pone a buscar qué navegadores hay instalado en el ordenador para comenzar a mostrar publicidad.
Dice Microsoft que lo han visto atacar a Chrome, Edge, Firefox y Yandex entre otros. Si el malware encuentra uno de estos navegadores instalado instala automáticamente una extensión que modifica las preferencias del navegador y carpetas internas para que no sea detectado. Puede por ejemplo deshabilitar actualizaciones de navegador, deshabilitar la navegación segura, modificar la página de inicio, modificar el motor de búsqueda y más.
A partir de ahí ya es cuestión de mostrar decenas de anuncios en los resultados de búsqueda. Los anuncios aparecen como cualquier otra página más en las búsquedas al buscar un término. Entrando en esas páginas e interactuando con ellas se redirige el tráfico a páginas que dan ingresos por publicidad al atacante.
Vía | Microsoft
Ver 26 comentarios