آشنایی با بدافزار Adrozek

شرکت مایکروسافت به کاربران درباره یک بدافزار سرقت اطلاعات جدید به نام “Adrozek” هشدار داده است. این شرکت گفته امکان این که روزانه بیش از 30 هزار دستگاه به این بدافزار آلوده شوند نیز وجود دارد.

عملکرد Adrozek

عملکرد بدافزار Adrozek به این صورت است که در سیستم‌های آلوده، آگهی‌هایی را در صفحه نتایج موتورهای جستجو نمایش داده و می‌تواند کنترل مرورگرهای IE، کروم، یاندکس و موزیلا را در اختیار بگیرد. این بدافزار از اسکریپت‌های مخربی که از سرورهای تحت کنترل مهاجمان دانلود می‌شود استفاده می‌کند تا بتواند با ایجاد تغییرات در تنظیمات و اجزای مختلف مرورگر، آگهی‌های دلخواه مهاجمان سایبری را نمایش دهد.

تیم تحقیقاتی Microsoft 365 Defender اعلام کرده است: «به کاربرانی که متوجه وجود این بدافزار بر روی سیستم‌های خودشان شده‌اند، توصیه می‌شود که مرورگرشان را دوباره نصب کنند. همچنین اگر Adrozek شناسایی و مسدود نشود می‌تواند یک افزونه به مرورگر اضافه کند، یک فایل DLL خاص که شامل توابع، کدها، منابع (عکس، آیکون و …) و داده‌هایی است که به توسعه دهندگان و برنامه نویسان این امکان را می‌دهد تا به آنها لینک زده و از توابع شان در برنامه‌های خود استفاده کنند را در مرورگر تغییر داده و تنظیمات آن را به‌ گونه‌ای تنظیم کند که امکان نمایش آگهی‌های غیرمجاز اضافه در صفحات وب که معمولاً روی تبلیغات عادی نمایش داده می‌شود، فراهم کند».

اگرچه مایکروسافت هنوز هیچ گونه شواهدی مبنی بر استفاده از Adrozek برای نصب بدافزار در سیستم‌های قربانی با کمک این آگهی‌ها مشاهده نکرده اما متخصصان سایبری بر این باورند که ممکن است این اتفاق در هر لحظه و زمانی رخ دهد. مهاجمان از طریق این بدافزار می‌توانند به راحتی اهداف شان را با جایگذاری پی‌لودهای مخرب بر روی سیستم های قربانیان خود دنبال کنند. همچنین آنها می‌توانند قابلیت دسترسی ایجاد شده بر روی سیستم‌های آلوده را به سایر گروه‌های مجرمانه و هکری بفروشند.

شرکت مایکروسافت اعلام کرده: «عملکرد Adrozek شبیه سایر ابزارهای تغییر مرورگر است که معمولاً از طریق طرح‌های فروش مشارکتی درآمدزایی نموده و با هدایت ترافیک به سمت وب سایت‌هایی خاص، از آنها کارمزد دریافت می‌کنند. هدف اصلی این بدافزار نیز کاربرانی هستند که کلمات خاصی را جستجو می‌کنند تا ناخواسته بر روی این تبلیغات آلوده به بدافزار کلیک کرده و به سمت سایت‌های مخرب هدایت شوند».

وجود هزاران دستگاه آلوده

این کمپین در مجموع تاکنون از 159 دامنه برای میزبانی از بیش از ده هزار URL منحصر به فرد استفاده کرده است که حدود پانزده هزار بدافزار از طریق آنها بر روی دستگاه‌های آلوده نصب شده است. در ماه‌های اخیر صدها هزار نمونه از بدافزارهای مختلف بر روی سیستم‌های آلوده از طریق این دامنه ها نصب شده اند.

با توجه به اینکه هنوز هم این کمپین فعال بوده و هر روز به سیستم‌های جدیدی راه پیدا می‌کند بنابراین می‌توان گفت زیرساخت Adrozek همچنان در حال توسعه بوده و هر روز دامنه‌های جدیدی به آن اضافه می‌شود تا پی لودهای جدید و خاصی را به سیستم‌ها تزریق کند. به گفته کارشناسان مایکروسافت: «زیرساخت توزیع این بدافزار، به شدت پویا است. تعدادی از دامنه‌ها فقط یک روز و بعضی از آنها حتی تا 120 روز هم به فعالیت ادامه داده اند. نکته جالبی که وجود دارد این است که بعضی از این دامنه‌ها فایل‌های سالمی مثل Process Explorer را منتشر می‌کردند که احتمالاً این کار را برای افزایش شهرت دامنه‌ها و URLهای خودشان و مقابله با روش‌های حفاظتی مبتنی بر شبکه انجام داده‌اند».

قابلیت‌های Adrozek

مهاجمان در این مدت، هر زمان سیستمی به یکی از 159 دامنه مورد تحت کنترل آنها هدایت می‌شده است را با روش «درایوبای دانلود» آلوده کرده و سپس اقدام به نصب بدافزار بر روی آن می‌کردند. Adrozek که یک بدافزار چندوجهی است ابزارهای شناسایی را فیلتر کرده و به مهاجمان این امکان را می‌دهد تا تعداد زیادی از نمونه‌های جدید این بدافزار را روی زیرساخت‌های خودشان پیاده سازی کنند.

به گفته شرکت مایکروسافت، «هر چند بسیاری از این دامنه‌ها حاوی ده‌ها هزار URL بوده‌اند ولی تعداد کمی از آنها بیشتر از صد هزار URL منحصر به فرد داشته اند و یکی از آنها حدود 250 هزار URL داشته است. این زیرساخت بزرگ نشان دهنده تلاش مهاجمان برای عملیاتی کردن این کمپین است».

لازم به ذکر است این بدافزار، یک فایل اجرایی مخرب در پوشه %temp% سیستم ذخیره می‌کند که پس از آن، پی‌لود اصلی را با ظاهر یک نرم افزار صوتی سالم در Program Files نصب می‌کند.

جزییات حمله Adrozek

پس از نصب Adrozek بر روی سیستم قربانی، این بدافزار شروع به اضافه کردن اسکریپت‌های مخرب برای تزریق تبلیغات در مرورگرهای مختلف می‌کند. این بدافزار باعث غیرفعال شدن تنظیمات امنیتی در IE و سایر مرورگرها، غیرفعال شدن قابلیت “Safe Browsing” (وب گردی امن) و فعال شدن افزونه‌های مورد نظر در حالت “Incognito” یا همان حالت ناشناس می‌شود. در این حالت، تاریخچه وب گردی‌های مهاجم و همچنین کوکی‌های ذخیره شده بر روی سیستم کاربر دیگر ذخیره نخواهند شد.

این بدافزار همچنین می تواند به‌روزرسانی‌های خودکار مرورگر را غیرفعال کرده تا اجزایی که تحت اختیار وی قرار گرفته اند به حالت قبل برنگردند. Adrozek با اضافه کردن مقادیری در رجیستری ویندوز و ایجاد یک سرویس جدید به نام “Main Service” جهت اجرای خودکار پی‌لود در هنگام شروع به کار سیستم، سعی می‌کند حضور خودش را بر روی رایانه قربانی دایمی کند. در سیستم‌هایی با مرورگر فایرفاکس، Adrozek می تواند اطلاعات حساب‌های کاربری را هم سرقت کرده و پس از رمزنگاری شان آنها را برای مهاجمان ارسال کند.

شرکت مایکروسافت اعلام کرده است: «Adrozek با این قابلیت‌های جدید، خودش را از سایر ابزارهای مشابه متمایز کرده و نشان می‌دهد چیزی به اسم تهدید غیرفوری یا با اولویت کم وجود ندارد. اگرچه هدف اصلی این بدافزار، تزریق تبلیغات و هدایت ترافیک به سمت وب سایت‌های خاص است اما زنجیره حمله شامل رفتارهای پیچیده‌ای است که به مهاجمان امکان می‌دهد حضوری مستمر در سیستم مدنظر داشته باشند».

منبع: bleepingcomputer