微軟警告一種可劫持Chrome、Edge和Firefox等瀏覽器的病毒Adrozek

微軟近日發出警報，稱有一種新的惡意軟體會感染使用者的裝置，修改瀏覽器相關設定，在搜尋結果頁面中插入廣告。微軟將此惡意軟體命名“Adrozek”，該惡意軟體至少從2020年5月就開始活躍，並在今年8月達到絕對峰值，當時它每天控制超過30000個瀏覽器。

在這份報告中，微軟365 Defender研究團隊認為，被感染的使用者的實際數量要高得多在2020年5月至9月期間，他們在全球範圍內觀察到了“數十萬”的Adrozek檢測結果。根據內部觀測，受害者最集中的地區似乎是歐洲，其次是南亞和東南亞。

微軟表示，該惡意軟體是透過典型的下載方案分發的，將使用者從合法站點重定向到可疑的頁面，誘騙使用者安裝Androzek惡意軟體，然後篡改登錄檔，獲得重啟自動執行的永續性。然後，惡意軟體將尋找本地安裝的瀏覽器，例如微軟Edge，谷歌瀏覽器，火狐瀏覽器， 或者Yandex瀏覽器。

Adrozek執行的惡意修改行為包括：

禁用瀏覽器更新

禁用檔案完整性檢查

禁用安全瀏覽功能

註冊並激活他們在上一步中新增的副檔名

允許其惡意擴充套件程式以隱身模式執行

允許擴充套件執行而沒有獲得適當的許可權

從工具欄隱藏副檔名

修改瀏覽器的預設主頁

修改瀏覽器的預設搜尋引擎

所有這些都是為了允許Adrozek將廣告注入搜尋結果頁面，這些廣告允許惡意軟體幫派透過將流量引向廣告和流量引薦計劃來獲得收益。微軟表示，在Firefox上，Adrozek還包含一個輔助功能，該功能可從瀏覽器中提取憑證並將資料上傳到攻擊者的伺服器。

微軟表示，Adrozek的操作非常複雜，尤其是在其分發基礎架構方面。自2020年5月以來，它跟蹤了159個託管Adrozek安裝程式的域。每個域平均託管17，300個動態生成的URL，每個URL託管了15，300個以上動態生成的Adrozek安裝程式。

微軟說：“儘管許多域名託管了數以萬計的URL，但有些域名卻擁有超過100，000個唯一URL，其中一個託管了將近25萬個URL。這種龐大的基礎架構反映出攻擊者如何堅定地保持這一活動的正常執行。”、“分發基礎架構也非常動態。一些域僅使用了一天，而其他域則使用了更長的時間（長達120天）。”

總而言之，由於它大量使用多型性來不斷輪換其惡意軟體有效載荷和分發基礎結構，因此微軟預計Adrozek的業務將在未來幾個月內進一步增長。微軟強調：“建議在裝置上發現此威脅的終端使用者重新安裝其瀏覽器。