В своём новом отчёте, посвящённом вопросам IT-безопасности, специалисты Microsoft рассказали о выявлении в интернете вредоносных программ, алгоритм которых позволяет нейтрализовать встроенные механизмы защиты сразу нескольких популярных браузеров. Новый хакерский инструмент без ведома пользователя устанавливает сторонние расширения, цель которых — «заспамить» окна веб-обозревателя рекламой на месте поисковой выдачи.
По заверению Microsoft, вирус под названием Adrozek связан с ботнетом на базе 159 доменов, которые в сумме содержат около 17 300 уникальных URL-адресов. Всего такая сеть включает более 15 000 вариаций вредоносного ПО. По мнению экспертов, запуск ботнета состоялся ещё в мае этого года, а пик распространения вредоноса пришёлся на август, когда ежедневно заражёнными оказывались около 30 тысяч устройств.
Хакерское ПО затрагивает браузеры Google Chrome, Mozilla Firefox, Microsoft Edge и «Яндекс.Браузер». Цель злоумышленников заключается в добавлении рекламы в результаты поиска для монетизации. При этом вирус меняет настройки безопасности, открывая себе неограниченный доступ к загрузке расширений и показу рекламы.
Слева — обычная поисковая выдача, справа — результат «работы» вируса
Установка Adrozek происходит с помощью исполняемого файла с предварительным помещением во временную папку Windows. После окончания инсталляции вредонос маскируется под приложение QuickAudio.exe, Audiolava.exe или Converter.exe. При этом Arozek устанавливается как легитимное ПО с включением соответствующих служб Windows.
По мнению экспертов, использование алгоритма распознавания с вариативным кодом усложняет обнаружение «шпиона» классическими антивирусами. Наиболее эффективным вариантом борьбы с вредоносом они назвали специализированное ПО, использующее технологии машинного обучения.