Microsoft a publié un Attention cette semaine d’une campagne de malwares généralisée qui consiste à détourner les navigateurs Web les plus populaires sur des dizaines de milliers d’appareils chaque jour. Les attaquants peuvent apporter des modifications silencieuses aux ordinateurs des utilisateurs pour injecter des publicités dans les résultats de recherche et extraire une quantité importante de revenus.
Collectivement, cette famille d’exploits de navigateur s’appelle « Adrozek » et a été observée pour la première fois en mai.
Les attaquants utilisent plus d’une centaine de noms de domaine hébergeant en moyenne 17 300 URL. Les chercheurs de Microsoft affirment avoir trouvé plus de 15 300 échantillons de logiciels malveillants uniques. En seulement cinq mois, ils ont enregistré des centaines de milliers de détections d’Adrozek à travers le monde, en particulier en Europe, en Asie du Sud et en Asie du Sud-Est.
Les méthodes utilisées par les attaquants ne sont pas nouvelles, mais elles sont devenues plus sophistiquées ces derniers temps et peuvent maintenant affecter plusieurs navigateurs en même temps, y compris Google Chrome, Microsoft Edge, Mozilla Firefox et le navigateur Yandex. Adrozek fonctionne d’abord en ajoutant des extensions de navigateur et en modifiant des fichiers DLL spécifiques de votre navigateur, afin que les attaquants puissent obtenir les privilèges nécessaires pour modifier les paramètres. Cela leur permet d’insérer des annonces supplémentaires en plus des annonces légitimes dans les pages Web que vous visitez.
Adrozek est particulièrement efficace sur les moteurs de recherche comme Google où les attaquants peuvent cibler les utilisateurs en fonction des mots-clés qu’ils recherchent. Comme le montre l’image ci-dessus, un utilisateur verra généralement les résultats de recherche renseignés par plusieurs liens d’affiliation en haut. Plus il y a de personnes qui cliquent sur ces liens, plus les attaquants gagnent d’argent puisqu’ils sont payés en fonction du trafic qu’ils peuvent apporter à ces pages sponsorisées.
Microsoft explique qu’Adrozek pourrait facilement être utilisé pour causer plus de dommages aux PC cibles en injectant des charges malveillantes supplémentaires et en exfiltrant les informations d’identification de votre site Web. L’ensemble de l’infrastructure qui permet à la campagne change de manière dynamique au fil du temps, tandis que les domaines eux-mêmes sont améliorés pour paraître plus légitimes.
Si vous remarquez le comportement ci-dessus sur votre système, une solution proposée consiste simplement à réinstaller les navigateurs que vous utilisez et apprendre encore plus sur la façon de prévenir les infections de logiciels malveillants comme celle-ci.
