Adrozek-Malware-Kampagne dauert an

Am 10.12.2020 veröffentlichte das Microsoft 365 Defender Research Team hier [https://www.microsoft.com/security/blog/2020/12/10/widespread-malware-campaign-seeks-to-silently-inject-ads-into-search-results-affects-multiple-browsers/] eigene Erkenntnisse zu einer mindestens seit Mai 2020 andauernden Malware-Kampagne. Die Adrozek genannte Malware versuche, in großem Stil unbemerkt Werbung in die Suchergebnisse einzuspielen, User auf infizierte Seiten umzuleiten und durch den erzeugten Traffic Geld zu verdienen. Damit das geschieht, muss die Malware auch die Security-Einstellungen der Browser umgehen. Das kann dann wiederum Tür und Tor für andere Bösewichte öffnen. Die Bedrohung beträfe mehrere Browser: Chrome, Edge, Firefox und Yandex. Wichtig erscheint der Hinweis, dass sich die Malware durch Drive-by-Downloads installiert.

Funktion

Wenn Adrozek auf das System gelangt sei, füge die Malware Browser-Erweiterungen hinzu und modifiziere bestimmte DLL im Browser. Hoch problematisch zudem: Adrozek fahndet auf dem System zudem gezielt nach gespeicherten Website-Anmeldeinformationen.

Der Befall des Systems

Nach Klick auf einen Adrozek-Werbelink und während der Installation der der Malware, lege diese eine .exe-Datei mit einem zufälligen Dateinamen im Ordner %temp% und die Hauptnutzlast im Ordner “Programme” ab. Dabei verwende sie Namen wie Audiolava.exe, QuickAudio.exe und converter.exe.

Installation und Folgen

Angreifer nutzten diese weitläufige Infrastruktur, um Hunderttausende von einzigartigen Adrozek-Installationsbeispielen zu verteilen. Jede dieser Dateien sei stark verschleiert und verwende einen eindeutigen Dateinamen, der diesem Format folge: setup_<Anwendungsname>_<Zahlen>.exe.

Wenn das Installationsprogramm ausgeführt wird, lege es eine .exe-Datei mit einem zufälligen Dateinamen im Ordner %temp% und die Hauptnutzlast im Ordner “Programme” ab. Der Dateinamen erwecke den Anschein, dass es sich um eine legitime Audio-Software handele. Dabei verwende sie Namen wie “Audiolava.exe, QuickAudio.exe und converter.exe”. Über die Skripte der Malware erfolge der Kontakt zum Remote-Server, werden weitere Skripte abgerufen und Informationen über das betroffene System an den Remoteserver verschickt. Damit das gelingt, müssten die Sicherheitseinstellungen der Browser ausgehebelt werden, so die Forschenden aus Redmond, WA. Die Folge: Der befallene Browser wird anfällig für Hijacking oder Manipulationen.

Die Erkenntnis:

“Adrozek zeigt, dass selbst Bedrohungen, die nicht als dringend oder kritisch angesehen werden, zunehmend komplexer werden. Und während das Hauptziel der Malware darin besteht, Werbung einzuschleusen und den Datenverkehr auf bestimmte Websites zu verweisen, umfasst die Angriffskette ausgeklügelte Verhaltensweisen, die es Angreifern ermöglichen, auf einem Gerät stark Fuß zu fassen. Die Hinzufügung des Verhaltens zum Diebstahl von Anmeldeinformationen zeigt, dass Angreifer ihre Ziele ausweiten können, um die Vorteile des Zugriffs zu nutzen, den sie erlangen können.”

[https://www.microsoft.com/security/blog/2020/12/10/widespread-malware-campaign-seeks-to-silently-inject-ads-into-search-results-affects-multiple-browsers/]

Was tun?!

  1. Antivirusprogramm nutzen, aktualisieren und System scannen,
  2. Betriebssystem und Software aktualisieren,
  3. Browser-Software aktualisieren.
  4. Wenn infiziert, dann Desinfektion des Systems und Neuinstallation des Browsers.
  5. User als Risiko: Überlegen Sie, welche Software aus welchen Quellen installiert wird.
  6. Unbedacht auf Werbelinks klicken? Werbung im Browser blockieren.

Gute Nachricht für Windows10-Nutzende

Der Windows kostenlos beigefügte Microsoft Defender Antivirus erkennt und beseitigt Adrozek.

Beitragsbild von Darwin Laganzon auf Pixabay