Selon Microsoft, une campagne de logiciels malveillants en cours ciblant les navigateurs Web Google Chrome, Mozilla Firefox, Microsoft Edge et Yandex frappe des ordinateurs dans le monde entier.
La campagne, active depuis mai 2020, a été observée quotidiennement sur plus de 30 000 appareils lors de son pic d'août et est conçue pour injecter des publicités dans la page de résultats de votre moteur de recherche.
Dans un article sur le blog de l'équipe de recherche Microsoft 365 Defender, l'entreprise a détaillé comment elle avait suivi le logiciel malveillant depuis début mai 2020, en le regardant se propager dans le monde entier.
Le type de logiciel malveillant est connu sous le nom d'Adrozek. La famille de logiciels malveillants Adrozek ajoute des extensions de navigateur, modifie les paramètres du navigateur pour injecter des publicités dans vos résultats de recherche et modifie une DLL spécifique pour qu'elle ne soit pas détectée.
Si le logiciel malveillant Adrozek n'est pas détecté, il injectera des publicités au-dessus de celles que vous vous attendez à voir dans votre moteur de recherche. L'image Microsoft suivante illustre la différence :
Les publicités insérées dans les résultats de recherche incluent des liens vers des sites affiliés, où l'attaquant peut gagner de l'argent grâce au volume de trafic envoyé à la page ou aux clics sur la page. Au pire, quelqu'un pourrait effectuer un achat direct, ouvrant la voie à des problèmes potentiellement dangereux tels que la fraude à l'identité et à la carte de crédit.
De plus, sur certains navigateurs, Adrozek est plus dangereux. Sur Mozilla Firefox, Adrozek peut activer un module supplémentaire qui permet le vol d'informations d'identification. En bref, il vole les mots de passe stockés dans votre navigateur et les envoie à l'attaquant.
Adrozek se concentre principalement autour de l'Europe, avec une autre forte concentration en Asie du Sud et en Asie du Sud-Est. Selon le rapport de Microsoft, cela est attendu d'une "campagne soutenue et de grande envergure".
Microsoft a suivi 159 domaines uniques, chaque domaine hébergeant en moyenne 17 300 URL. Chaque URL héberge en moyenne 15 300 échantillons de logiciels malveillants polymorphes uniques.
Quelque chose qui distingue Adrozek des autres logiciels malveillants similaires basés sur un navigateur est le téléchargement automatique.
Dans ce cas, un téléchargement instantané fait référence au moment où le programme d'installation apparaît sur votre machine sans que vous ayez à appuyer sur le bouton de téléchargement ou autrement. Lorsqu'il est exécuté, le programme d'installation télécharge un programme d'installation secondaire, qui à son tour télécharge et installe la charge utile principale du programme malveillant.
La charge utile principale porte un nom de fichier relatif au logiciel audio, tel que "QuickAudio.exe" ou "converter.exe" qui aide à le dissimuler dans vos dossiers.
Après l'installation, Adrozek contacte son serveur de contrôle et commence à modifier les paramètres de sécurité du navigateur.
Les navigateurs ont des paramètres de sécurité qui protègent contre la falsification des logiciels malveillants. Le fichier Préférences, par exemple, contient des données sensibles et des paramètres de sécurité. Les navigateurs basés sur Chromium détectent toute modification non autorisée de ces paramètres grâce à des signatures et à la validation de plusieurs préférences.
Adrozek désactive et corrige ces paramètres de sécurité, ainsi que la désactivation des mises à jour de sécurité du navigateur. Il comprend également plusieurs fonctions pour aider le logiciel malveillant à rester sur votre système, y compris la création de son propre service Windows.
Si vous remarquez que votre navigateur affiche des publicités aléatoires ou vous redirige vers des sites aléatoires, la première chose à faire est de lancer une analyse antivirus à l'aide de votre programme antivirus.
Vous devriez également envisager d'exécuter une analyse secondaire à l'aide d'un outil tel que Malwarebytes, qui recherchera et supprimera tous les types de logiciels malveillants de votre système. Enfin, l'équipe Microsoft conseille aux utilisateurs de "réinstaller leur navigateur" pour supprimer toute trace de malware.
