Četrtek, 25. 11. 2021, 6.22
3 leta
V porastu zlonamerna programska oprema, ki okuži spletne brskalnike
Škodljiva programska oprema, ki spreminja nastavitve brskalnika ni novost. Gre za enega izmed najstarejših tipov spletnih groženj, ki se ga poslužujejo kibernetski kriminalci. Že od maja 2020 na spletu kroži vztrajna kampanja za zlonamerno programsko opremo, ki se aktivno širi in spreminja brskalnik. Na njenem vrhuncu (avgusta 2020) je bilo okuženih več kot 30.000 naprav dnevno.
Zlonamerna programska oprema se širi preko okuženih spletnih strani (škodljiva koda je injicirana v legitimne spletne strani). Ko se naprava okuži, okužba prizadene več brskalnikov hkrati – Microsoft Edge, Google Chrome, Yandex Browser, Safari in Mozilla Firefox.Grožnja se imenuje Adrozek. Če grožnja s strani protivirusnega programa ni zaznana, Adrozek doda razširitve v brskalnik, spremeni .dll datoteke in nastavitve brskalnika tako, da v spletne strani vstavi dodatne, nepooblaščene oglase, pogosto poleg legitimnih oglasov. Cilj zlonamerne programske opreme je, da uporabniki, ki iščejo naključne besede, namenoma kliknejo na zlonamerne oglase. Napadalci služijo s partnerskimi oglaševalskimi programi, ki plačujejo po količini prometa, ki se generira s klikom na njihovo spletno stran.
Posebnost Adrozek škodljive programske opreme je, da vpliva na več brskalnikov hkrati in je zelo vztrajna – ni nujno, da jo antivirusni program izbriše v celoti, saj se programska koda nenehno spreminja in se s tem izogiba zaznavanju. Tudi ko jo najdemo, jo je težko povsem odstraniti – saj brskalniku namešča različne skripte, glede na tip brskalnika, ki ga okužena naprava uporablja. Največja ranljivost pa je, da v brskalniku Firefox išče posebne ključne besede (na primer encryptedUsername ter encryptedPassword), ki poiščejo šifrirane podatke. Nato podatke dešifrira s pomočjo funkcije PK11SDR_Decrypt (), ki jo najde v Firefox-ovi knjižnici in jih pošlje napadalcem. Na tak način napadalci z okuženih naprav pridobijo prijavne podatke (uporabniška imena in gesla). Do septembra 2020 je bilo okuženih več sto tisoč spletnih strani po vsem svetu, predvsem v Evropi ter južni in jugovzhodni Aziji.
Kot smo že omenili, je ključna lastnost Adrozek programske opreme ravno polimorfizem. Zgornji diagram predstavlja Adrozek verižni napad. Napadalci izkoriščajo razprostrto infrastrukturo za distribucijo več sto tisoč edinstvenih vzorcev namestitvenega programa virusa. Vsaka datoteka je močno zakrita in uporablja edinstveno ime datoteke, ki sledi obliki zapisa: setup__<številke>.exe. Pri zagonu, namestitveni program v začasno datoteko %temp% shrani škodljivo datoteko z naključnim imenom. Ta program nato v Programske datoteke dostavi novo datoteko, ki po imenu spominja na legitimno avdio programsko opremo (Audiolava.exe, QuickAudio.exe, Converter.exe ipd.).Ko je naprava okužena, zlonamerna programska spreminja nekatere razširitve v brskalniku. V Google Chrome-u običajno spremeni »Chrome Media Router« (eno izmed privzetih razširitev brskalnika), vendar lahko v določenih primerih vpliva tudi na katero drugo. Vsaka razširitev v Chrome brskalniku, temelji na edinstvenem 32-mestnem ID-ju, ki ga lahko uporabniki uporabljajo za iskanje razširitev v računalniku ali v spletni trgovini Chrome. V brskalnikih Microsoft Edge ter Yandex, zlonamerna programska oprema uporablja ID legitimnih razširitev, na primer »Radioplayer« in se tako maskira in predstavlja kot legitimna. Nato v napravi ustvari novo mapo s tem ID-jem razširitve in vanjo shrani zlonamerne komponente. V Firefoxu k razširitvi pripne mapo z globalnim enoličnim identifikatorjem (GUID). V spodnji tabeli so prikazane poti in ID-ji razširitev, ki jih zlonamerna programska oprema uporablja:
Brskalnik | Primer poti razširitve: |
---|---|
Microsoft Edge | %localappdata%\Microsoft\Edge\User Data\Default\Extensions\fcppdfelojakeahklfgkjegnpbgndoch |
Google Chrome | %localappdata%\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm (ni nujno vedno enaka) |
Mozilla Firefox | %appdata%\Roaming\Mozilla\Firefox\Profiles\\Extensions\{14553439-2741-4e9d-b474-784f336f58c9} |
Yandex Browser | %localappdata%\Yandex\YandexBrowser\User Data\Default\Extensions\fcppdfelojakeahklfgkjegnpbgndoch |
Kljub različnim razširitvam, je na koncu nameščena enaka zlonamerna skripta. V nekaterih primerih zlonamerna programska oprema privzeto priponko spremeni tako, da na pot ciljne datoteke doda sedem JavaScript datotek in eno datoteko manifest.json. V drugih primerih ustvari novo mapo z enakimi komponentami. Te skripte se povežejo z napadalčevim strežnikom, preko katerega pridobijo dodatne skripte, ki so zadolžene za injiciranje oglasov v rezultate iskanja, strežnik pa pridobi podatke o napravi. Ime domene oddaljenega strežnika je določeno v skriptah razširitve.
Zlonamerna programska oprema poseže tudi v nekatere .dll datoteke brskalnika. Na primer v Microsoft Edge brskalniku spremeni MsEdge.dll, da izklopi varnostne kontrole, ki so ključne pri zaznavanju sprememb v datoteki Secure preferences. V spodnji tabeli predstavljamo spremenjene .dll datoteke, glede na tip brskalnika.
Brskalnik | Primer poti razširitve: |
---|---|
Microsoft Edge | %PROGRAMFILES%\Microsoft\Edge\Application\\msedge.dll %localappdata%\Microsoft\Edge\User Data\Default\Secure Preferences %localappdata%\Microsoft\Edge\User Data\Default\Preferences |
Google Chrome | %PROGRAMFILES%\Google\Chrome\Application\\chrome.dll %localappdata%\Google\Chrome\User Data\Default\Secure Preferences %localappdata%\Google\Chrome\User Data\Default\Preferences |
Mozilla Firefox | %PROGRAMFILES%\Yandex\YandexBrowser\\browser.dll %localappdata%\Yandex\YandexBrowser\User Data\Default\Secure Preferences %localappdata%\Yandex\YandexBrowser\User Data\Default\Preferences |
Yandex Browser | %PROGRAMFILES%\Mozilla Firefox\omni.ja %appdata%\Mozilla\Firefox\Profiles\\extensions.json %appdata%\Mozilla\Firefox\Profiles\\prefs.js |
Čeprav imajo brskalniki varnostne nastavitve, ki ščitijo pred posegi z zlonamerno programsko opremo, Adrozek to zaobide tako, da popravi funkcijo v nastavitvah, ki preverja integriteto. S tem postane brskalnik ranljiv za nepooblaščene posege. Istočasno izklopi še funkcijo samodejnih posodobitev, da si zagotovi nenehno prisotnost v brskalniku. Spremeni še nekaj sistemskih nastavitev, da si omogoči nadzor nad ogroženo napravo. Konfiguracijske parametre shrani v ključ registra HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\. Vnosa 'tag' in 'did' (novejše različine Adrozek-a pa naključne znake) vsebujeta argumente ukazne vrstice, ki jih uporablja za zagon zlonamerne vsebine. Da si zlonamerna programska oprema zagotovi obstojnost, ustvari storitev z imenom »Main Service«.
Ko je zlonamerna programska oprema nameščena, lahko napadalci vstavljajo nelegitimne spletne oglase. Zaenkrat ni bilo beleženo, da bi tudi povezava oglasov vodila na zlonamerne spletne strani, vendar se lahko to kadarkoli spremeni.
Kraja poverilnic
Mozilla Firefox je pred zlonamerno programsko opremo Adrozek še posebej ranljiva, saj prenese dodatno naključno poimenovano datoteko .exe, ki zbira podatke o napravi in trenutno aktivno uporabniško ime. Te podatke pošlje na napadalčev oddaljeni strežnik, nato pa prične locirati določene datoteke, ki vključujejo tudi login.json (v Firefoxu se nahaja na %AppData%\Roaming\Mozilla\Firefox\Profiles\\logins.json), ki shranjuje šifrirane uporabniške poverilnice in zgodovino brskanja. Adrozek išče specifične ključne besede, kot sta encryptedUsername in ecryptedPassword, da najde specifične šifrirane podatke. Nato jih dešifrira s pomočjo funkcije PK11SDR_Decrypt () (s Firefoxove knjižnice) in podatke pošlje napadalcem.
Odstranitev škodljive programske opreme Adrozek
V Windowsih naprej sledimo: Control Panel > Uninstall a program > Main service > Uninstall/Remove)
Nato pa ga odstranimo še iz brskalnika:
- Google Chrome: Menu>More tools>Extensions - poiščemo vse nedavno nameščene sumljive razširitve in jih izbrišemo, ali pa brskalnik ponastavimo na privzete vrednosti (Menu>Settings>Advanced>Reset – restore settings to their original defaults).
- Mozilla Firefox: Menu>Add-ons>Extensions - poiščemo vse nedavno nameščene sumljive razširitve in jih izbrišemo. Če to ne pomaga, kliknemo Menu>Help > Troubleshooting Information > Refresh Firefox.
- Safari: Safari menu > Clear History and Website Data… > All history > Clear history.
- Microsoft Edge: Menu > Extensions - poiščemo vse nedavno nameščene sumljive razširitve in jih izbrišemo. Če to ne pomaga, izberemo Menu > Settings > Reset settings > Restore settings to their default values > Reset.
- Internet Explorer: Settings > Manage add-ons - poiščemo vse nedavno nameščene sumljive razširitve in jih izbrišemo. Če to ne pomaga, na starejših Windows operacijskih sistemih sledimo naslednjim korakom: Start > Run > napišemo inetcpl.cpl > Advanced zavihek > Reset. Windows 8 ali novejši odpremo Internet Explorer in sledimo korakom: Settings > Internet options > Advanced > Reset > potrdimo izbiro.
Obramba pred sofisticiranimi modifikatorji brskalnikov
Adrozek nakazuje, da so tudi ne-kritične in ne-nujne grožnje čedalje bolj sofisticirane. Kljub temu, da je glavni cilj te grožnje vbrizgati oglase in usmerjati promet na določena spletna mesta, lahko opazimo nekatere bolj prefinjene tehnike, ki napadalcem omogočajo močno prisotnost na okuženi napravi. Polimorfno vedenje in dodajanje možnosti kraje poverilnic pa nakazuje, da lahko napadalci razširijo svoje cilje in v prihodnosti izkoristijo nelegitimno pridobljene dostope. Pri takšnih sofisticiranih okužbah je nujna uporaba zaupanje vrednega protivirusnega programa, ki temelji na strojnem učenju in tako zaznava in blokira grožnje kot so Adrozek.Da preprečimo okužbo z zlonamerno grožnjo, pa moramo biti pozorni pri nameščanju programske opreme iz nezaupnih virov ter pri klikih na oglase in povezave do sumljivih spletnih mest. Poleg tega, je priporočljiva uporaba rešitev filtriranja URL prometa ter redno posodabljanje programske opreme in operacijskega sistema.
Več o grožnji:
Widespread malware campaign seeks to silently inject ads into search results, affects multiple browsersAdrozek Malware Delivers Fake Ads to 30K Devices a Day'Adrozek' Malware Is Infecting Thousands of PCs to Insert Ads, Microsoft WarnsHow to remove the Adrozek browser-modifying adware?