Adrozek的惡意Script會在搜尋結果頁及結果頁最上方的合法廣告上插入廣告(如圖右所示),目的是引誘搜尋特定關鍵字的使用者點入已被它注入的廣告,再連到廣告聯盟網頁,藉此賺取導流收入,即點擊詐騙。(圖片來源/微軟)

微軟警告一隻惡意程式劫持 Chrome、Firefox及Edge等瀏覽器顯示惡意廣告目前在網路上散布,還會竊取部份用戶的帳號密碼,最多一天感染3萬臺電腦。

名為Adrozek的滲透性惡意程式是一種瀏覽器修改程式(browser modifier)家族,它會修改目標瀏覽器搜尋引擎設定、以插入未授權廣告於網頁內,藉此進行點擊詐騙。此外,它還會從瀏覽器竊取密碼用於未來攻擊。所有主要瀏覽器都受到影響。

Adrozek從今年5月就在網路上大量散布開來,而在攻擊最高峰的8月,微軟觀測它每天在超過3萬臺裝置上活動。

微軟解釋Adrozek攻擊步驟。它一開始是利用大量網域代管數千個URL進行掛馬(drive-by)攻擊,以各種名目吸引用戶下載。一旦安裝到電腦後,就會修改瀏覽器外掛程式及特定DLL檔。

修改外掛程式目的在加入JavaScript以連接外部伺服器,以顯示惡意廣告在搜尋結果頁上,修改DLL檔則是為了關閉安全設定,確保瀏覽器下載惡意外掛,以及關閉瀏覽器更新以免安全設定被回復。另外,它也會修改系統設定以降低被安全軟體偵測到,以擴大在受害者電腦內的潛伏期。

在修改電腦設定後,Adrozek便可以開始主要活動。它的惡意Script會在搜尋結果頁及結果頁最上方的合法廣告上插入廣告,目的是引誘搜尋特定關鍵字的使用者點入已被它注入的廣告,再連到廣告聯盟網頁,藉此賺取導流收入,即點擊詐騙。

主要瀏覽器包括Chrome、Edge、Firefox及Yandex都受到這波攻擊的影響。而在Firefox上,Adrozek還會再多一招,它還下載一個執行檔以蒐集裝置資訊、目前有效的用戶帳號名稱,以及存取儲存Firefox密碼及上網紀錄的檔案,再將這些資訊傳給攻擊者。

微軟指出,會執行點擊詐騙的程式並不少見,但Adrozek冒充多種名目、潛伏在電腦內的手法,以及竊取用戶密碼的行為,顯示攻擊者手法愈來愈高明,且野心也更大。

發現這類攻擊的個人用戶,微軟建議重新安裝瀏覽器。至於企業用戶,微軟則建議切斷這些威脅的攻擊面,像是啟動應用控管,只允許使用經授權的App和服務,或是使用端點安全產品,並找出其他網域(如雲端App)、電子郵件、和身份等威脅和端點資料的關聯性。

熱門新聞

Advertisement