Theo Microsoft, một chiến dịch phần mềm độc hại đang diễn ra nhắm vào các trình duyệt web Google Chrome, Mozilla Firefox, Microsoft Edge và Yandex đang tấn công các máy tính trên toàn thế giới.
Chiến dịch, hoạt động kể từ tháng 5 năm 2020, được quan sát trên 30.000 thiết bị hàng ngày vào thời điểm cao điểm vào tháng 8 và được thiết kế để đưa quảng cáo vào trang kết quả của công cụ tìm kiếm của bạn.
Chích quảng cáo phần mềm độc hại tấn công hàng nghìn máy tính
Trong một bài đăng trên Blog của Nhóm Nghiên cứu Bộ bảo vệ Microsoft 365, công ty đã nêu chi tiết cách họ theo dõi phần mềm độc hại kể từ đầu tháng 5 năm 2020, theo dõi nó lây lan trên toàn thế giới.
Loại phần mềm độc hại được gọi là Adrozek. Dòng phần mềm độc hại Adrozek thêm tiện ích mở rộng trình duyệt, thay đổi cài đặt trình duyệt để đưa quảng cáo vào kết quả tìm kiếm của bạn và sửa đổi một DLL cụ thể để không bị phát hiện.
Nếu phần mềm độc hại Adrozek không được phát hiện, nó sẽ đưa các quảng cáo lên trên những quảng cáo bạn muốn thấy trong công cụ tìm kiếm của mình. Hình ảnh sau của Microsoft minh họa sự khác biệt:
Các quảng cáo được chèn vào kết quả tìm kiếm bao gồm các liên kết đến các trang liên kết, nơi kẻ tấn công có thể kiếm tiền thông qua lượng lưu lượng truy cập được gửi đến trang hoặc thông qua các lần nhấp vào trang. Tệ nhất, ai đó có thể mua hàng trực tiếp, mở ra các vấn đề nguy hiểm tiềm ẩn như danh tính và gian lận thẻ tín dụng.
Hơn nữa, trên một số trình duyệt, Adrozek nguy hiểm hơn. Trên Mozilla Firefox, Adrozek có thể kích hoạt một mô-đun bổ sung cho phép đánh cắp thông tin xác thực. Nói tóm lại, nó đánh cắp mật khẩu được lưu trữ trong trình duyệt của bạn và gửi chúng cho kẻ tấn công.
Adrozek tập trung chủ yếu quanh Châu Âu, tập trung nhiều ở Nam Á và Đông Nam Á. Theo báo cáo của Microsoft, điều này được mong đợi từ một "chiến dịch bền vững, có tầm ảnh hưởng sâu rộng".
Microsoft đã theo dõi 159 miền duy nhất, với mỗi miền lưu trữ trung bình 17.300 URL. Mỗi URL lưu trữ trung bình 15.300 mẫu phần mềm độc hại đa hình, duy nhất.
Adrozek có trên hệ thống của bạn như thế nào?
Thứ gì đó đặt Adrozek ra khỏi phần mềm độc hại dựa trên trình duyệt tương tự khác là tải xuống theo từng ổ đĩa.
Trong trường hợp này, tải xuống theo từng ổ đề cập đến thời điểm trình cài đặt xuất hiện trên máy của bạn mà không yêu cầu bạn nhấn nút tải xuống hoặc cách khác. Khi chạy, trình cài đặt tải xuống trình cài đặt phụ, trình cài đặt này sẽ tải xuống và cài đặt tải phần mềm độc hại chính.
Tải trọng chính mang tên tệp liên quan đến phần mềm âm thanh, chẳng hạn như "QuickAudio.exe" hoặc "converter.exe", giúp ngụy trang nó trong các thư mục của bạn.
Sau khi cài đặt, Adrozek liên hệ với máy chủ điều khiển của nó và bắt đầu sửa đổi cài đặt bảo mật của trình duyệt.
Các trình duyệt có cài đặt bảo mật chống lại phần mềm độc hại giả mạo. Ví dụ:tệp Tùy chọn chứa dữ liệu nhạy cảm và cài đặt bảo mật. Các trình duyệt dựa trên Chromium phát hiện bất kỳ sửa đổi trái phép nào đối với các cài đặt này thông qua chữ ký và xác thực trên một số tùy chọn.
Adrozek vô hiệu hóa và vá các cài đặt bảo mật này, cũng như tắt các bản cập nhật bảo mật của trình duyệt. Nó cũng bao gồm một số chức năng để giúp phần mềm độc hại vẫn còn trên hệ thống của bạn, bao gồm cả việc tạo dịch vụ Windows của riêng nó.
Cách Xóa Adrozek
Nếu bạn nhận thấy trình duyệt của mình hiển thị các quảng cáo ngẫu nhiên hoặc chuyển hướng bạn đến các trang web ngẫu nhiên, điều đầu tiên cần làm là quét vi-rút bằng chương trình chống vi-rút của bạn.
Bạn cũng nên cân nhắc chạy quét thứ cấp bằng công cụ như Malwarebytes, công cụ này sẽ quét và xóa tất cả các loại phần mềm độc hại khỏi hệ thống của bạn. Cuối cùng, nhóm Microsoft khuyên người dùng nên "cài đặt lại trình duyệt của họ" để xóa bất kỳ dấu vết phần mềm độc hại nào.