Inserta anuncios adicionales no autorizados en la parte superior de los anuncios legítimos
Microsoft eliminó el jueves una campaña en curso que afecta a los navegadores web populares y que inyecta sigilosamente anuncios infestados de malware en los resultados de búsqueda para ganar dinero a través de la publicidad de afiliados.
"Adrozek", como lo llama el equipo de investigación de Microsoft 365 Defender, emplea una "infraestructura de atacantes dinámica y expansiva" que consta de 159 dominios únicos, cada uno de los cuales alberga un promedio de 17.300 URL únicas, que a su vez albergan más de 15.300 muestras de malware único.
La campaña, que afecta a los navegadores Microsoft Edge, Google Chrome, Yandex Browser y Mozilla Firefox en Windows, tiene como objetivo insertar anuncios adicionales no autorizados en la parte superior de los anuncios legítimos que se muestran en las páginas de resultados de los motores de búsqueda, lo que lleva a los usuarios a hacer clic en estos anuncios sin darse cuenta.
Microsoft dijo que el malware modificador de navegador persistente se ha observado desde mayo de este año, con más de 30.000 dispositivos afectados todos los días en su punto máximo en agosto.
"Los ciberdelincuentes que abusan de los programas de afiliados no es algo nuevo; los modificadores del navegador son algunos de los tipos más antiguos de amenazas", dijo el fabricante de Windows. "Sin embargo, el hecho de que esta campaña utilice un malware que afecte a varios navegadores es una indicación de cómo este tipo de amenaza sigue siendo cada vez más sofisticado. Además, el malware mantiene la persistencia y filtra las credenciales del sitio web, exponiendo los dispositivos afectados a riesgos adicionales".
Una vez que se suelta e instala en los sistemas de destino a través de descargas no autorizadas, Adrozek procede a realizar varios cambios en la configuración del navegador y los controles de seguridad para instalar complementos maliciosos que se hacen pasar por genuinos al reutilizar los ID de extensiones legítimas.
Aunque los navegadores modernos tienen controles de integridad para evitar la manipulación, el malware deshabilita inteligentemente la función, permitiendo así a los atacantes eludir las defensas de seguridad y explotar las extensiones para obtener scripts adicionales de servidores remotos para inyectar anuncios falsos y obtener ingresos dirigiendo el tráfico a estas páginas publicitarias fraudulentas.
Además, Adrozek va un paso más allá en Mozilla Firefox para llevar a cabo el robo de credenciales y exfiltrar los datos a servidores controlados por atacantes.
"Adrozek muestra que incluso las amenazas que no se consideran urgentes o críticas son cada vez más complejas", dijeron los investigadores.
"Y si bien el objetivo principal del malware es inyectar anuncios y derivar tráfico a ciertos sitios web, la cadena de ataque implica un sofisticado comportamiento que permite a los atacantes afianzarse en un dispositivo. La adición del comportamiento de robo de credenciales muestra que los atacantes pueden expandir sus objetivos para aprovechar el acceso que pueden obtener".
