マイクロソフトが主要なブラウザを攻撃するマルウェアキャンペーンを明らかに

Microsoftによると、Google Chrome、Mozilla Firefox、Microsoft Edge、およびYandexWebブラウザを対象とした進行中のマルウェアキャンペーンが世界中のコンピュータを襲っています。

2020年5月から実施されているこのキャンペーンは、8月のピーク時に毎日30,000台を超えるデバイスで観察され、検索エンジンの結果ページに広告を挿入するように設計されています。

Ad-Injecting Malware Hits Thousands of Computers

Microsoft 365 Defender Research Team Blogの投稿で、同社は2020年5月初旬以降、マルウェアが世界中に拡散するのを監視して、マルウェアを追跡した方法を詳しく説明しています。

マルウェアの種類はAdrozekとして知られています。 Adrozekマルウェアファミリは、ブラウザ拡張機能を追加し、ブラウザ設定を変更して検索結果に広告を挿入し、特定のDLLを変更して検出されないようにします。

Adrozekマルウェアが検出されない場合、検索エンジンに表示されると予想されるものよりも上に広告が挿入されます。次のMicrosoftイメージは、違いを示しています。

検索結果に挿入される広告には、アフィリエイトサイトへのリンクが含まれています。アフィリエイトサイトでは、攻撃者はページに送信されるトラフィックの量またはページのクリックを通じてお金を稼ぐことができます。最悪の場合、誰かが直接購入して、身元やクレジットカード詐欺などの潜在的に危険な問題を引き起こす可能性があります。

さらに、特定のブラウザでは、Adrozekはより危険です。 Mozilla Firefoxでは、Adrozekは資格情報の盗難を可能にする追加のモジュールをアクティブ化できます。つまり、ブラウザに保存されているパスワードを盗み、攻撃者に送信します。

Adrozekは主にヨーロッパに焦点を当てており、南アジアと東南アジアにも集中しています。 Microsoftのレポートによると、これは「持続的で広範囲にわたるキャンペーン」から予想されます。

Microsoftは159の一意のドメインを追跡し、各ドメインは平均17,300のURLをホストしていました。各URLは、平均15,300の固有の多形マルウェアサンプルをホストします。

Adrozekはどのようにシステムに接続しますか？

Adrozekを他の同様のブラウザベースのマルウェアと区別するものは、ドライブバイダウンロードです。

この場合、ドライブバイダウンロードとは、ダウンロードボタンなどを押すことなく、インストーラーがマシンに表示される瞬間を指します。実行すると、インストーラーはセカンダリインストーラーをダウンロードし、セカンダリインストーラーはメインのマルウェアペイロードをダウンロードしてインストールします。

メインペイロードには、「QuickAudio.exe」や「converter.exe」などのオーディオソフトウェアに関連するファイル名が含まれており、フォルダ内で偽装するのに役立ちます。

インストール後、Adrozekは制御サーバーに接続し、ブラウザのセキュリティ設定の変更を開始します。

ブラウザには、マルウェアの改ざんを防ぐセキュリティ設定があります。たとえば、設定ファイルには機密データとセキュリティ設定が含まれています。 Chromiumベースのブラウザは、いくつかの設定での署名と検証を通じて、これらの設定に対する不正な変更を検出します。

Adrozekは、これらのセキュリティ設定を無効にしてパッチを適用し、ブラウザのセキュリティ更新を無効にします。また、独自のWindowsサービスの作成など、マルウェアがシステムに残るのを助けるいくつかの機能も含まれています。

Adrozekを削除する方法

ブラウザにランダムな広告が表示されたり、ランダムなサイトにリダイレクトされたりすることに気付いた場合、最初に行うことは、ウイルス対策プログラムを使用してウイルススキャンを実行することです。

また、Malwarebytesなどのツールを使用してセカンダリスキャンを実行することを検討する必要があります。このツールは、システムからすべての種類のマルウェアをスキャンして削除します。最後に、Microsoftチームは、マルウェアの痕跡を削除するために「ブラウザを再インストール」するようユーザーにアドバイスしています。