Компания Microsoft предупредила о новом семействе вредоносного ПО, которое подмешивает в поисковую выдачу вредоносные ссылки и похищает данные. Новый вирус-модификатор, названный Adrozek, угрожает пользователям Edge, Google Chrome, Mozilla Firefox и "Яндекс.Браузера".
Adrozek впервые был замечен в мае 2020 года. В августе, на пике своей активности, он ежедневно заражал не менее 30 тысяч браузеров. Всего с мая по сентябрь, по оценкам специалистов, вредонос поразил "сотни тысяч" устройств по всему миру. Наибольшая часть его жертв приходится на Европу, затем следуют Южная и Юго-Восточная Азия.
Зловред проникает в систему по классической схеме — когда пользователя обманом вынуждают перейти по ссылке и установить зараженное ПО. Оказавшись внутри, Adrozek сканирует устройство на наличие популярных браузеров, а затем модифицирует папку AppData, что дает ему право устанавливать любые вредоносные расширения.
Слева — обычная поисковая выдача, справа — блок с вредоносными ссылками, встроенный Adrozek
Помимо этого, "червь" видоизменяет некоторые DLL-файлы, отключает механизмы безопасности и меняет настройки просмотрщика. В частности, предупреждают в Microsoft, Adrozek выключает обновления, режим безопасного просмотра и функцию проверки целостности, позволяет вредоносному расширению работать в режиме инкогнито, а также меняет домашнюю страницу и поисковую систему, используемую по умолчанию.
Затем Adrozek начинает встраивать в поисковую выдачу сторонние ссылки, позволяя его создателям зарабатывать на рекламе и реферальных программах. В случае с Firefox, говорят специалисты, зловред еще более опасен: он извлекает из браузера учетные данные и загружает их на серверы злоумышленников.
