{"id":238827,"date":"2020-12-11T22:32:35","date_gmt":"2020-12-11T21:32:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=238827"},"modified":"2020-12-12T06:13:38","modified_gmt":"2020-12-12T05:13:38","slug":"adrozek-malware-kampagne-zielt-auf-populre-browser","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/12\/11\/adrozek-malware-kampagne-zielt-auf-populre-browser\/","title":{"rendered":"Adrozek-Malware-Kampagne zielt auf populäre Browser"},"content":{"rendered":"

[English<\/a>]Das Microsoft 365-Sicherheitsteam weist auf eine Adrozek genannte Malware-Kampagne hin. Die Malware zielt auf popul\u00e4re Browser wie Google Chrome, Microsoft Edge, Firefox etc. und versucht den Browser so zu manipulieren, dass Werbung bei einer Suche ausgespielt wird. \u00dcber diesen Ansatz versuchen die Hinterm\u00e4nner Einnahmen zu generieren. Europa scheint besonders betroffen.<\/p>\n

<\/p>\n

\"\"Das Microsoft 365 Defender Research Team ist am Donnerstag, den 10. Dezember 2020 mit diesem Blog-Beitrag<\/a> an die \u00d6ffentlichkeit gegangen. Mindestens Mai 2020 l\u00e4uft eine\u00a0 hartn\u00e4ckige Malware-Kampagne,\u00a0 die aktiv eine weiterentwickelte Browser-Modifier-Malware im gro\u00dfen Stil verbreitet. Auf ihrem H\u00f6hepunkt im August wurde die Bedrohung t\u00e4glich auf \u00fcber 30.000 Ger\u00e4ten beobachtet. Die Malware ist so konzipiert, dass sie Anzeigen in die Ergebnisseiten von Suchmaschinen einf\u00fcgt (siehe Abbildung rechts).<\/p>\n

\"Ads<\/a>
\n(Quelle: Microsoft)<\/p>\n

Die Malware bedroht mehrere Browser – Microsoft Edge, Google Chrome, Yandex Browser und Mozilla Firefox. Die Angreifer versuchen so viele Internetnutzer wie m\u00f6glich zu erreichen. Microsoft bezeichnet diese Familie von Browser-Modifikatoren Adrozek.<\/p>\n

Wird die Malware nicht erkannt und blockiert, f\u00fcgt Adrozek Browser-Erweiterungen hinzu, modifiziert eine bestimmte DLL pro Zielbrowser und \u00e4ndert die Browser-Einstellungen. Ziel ist es, zus\u00e4tzliche, nicht autorisierte Werbung in Webseiten einzuf\u00fcgen, oft zus\u00e4tzlich zu legitimer Werbung von Suchmaschinen.<\/p>\n

Der beabsichtigte Effekt ist, dass Benutzer, die nach bestimmten Schl\u00fcsselw\u00f6rtern suchen, versehentlich auf diese von der Malware eingef\u00fcgten Anzeigen klicken, die zu den verlinkten Seiten f\u00fchren. Die Angreifer verdienen durch Affiliate-Werbeprogramme, die nach der Menge des Traffics zahlen, der auf gesponserte, angeschlossene Seiten weitergeleitet wird.<\/p>\n

Eine solche weitreichende Kampagne erfordert eine umfangreiche, dynamische Infrastruktur der Angreifer. Microsofts Sicherheitsforscher haben 159 eindeutige Domains verfolgt, von denen jede durchschnittlich 17.300 eindeutige URLs hostet, die wiederum im Durchschnitt mehr als 15.300 eindeutige, polymorphe Malware-Samples hosten.<\/p>\n

\"Adrozek-Verteilung\"
\n(Adrozek-Verteilung Quelle: Microsoft)<\/p>\n

Insgesamt verzeichneten die Sicherheitsforscher von Microsoft im Zeitraum Mai bis September 2020 weltweit Hunderttausende von 'Treffern' der Adrozek-Malware. Dabei gibt es eine starke Konzentration in Europa sowie in S\u00fcd- und S\u00fcdostasien. Da diese Kampagne noch andauert, wird sich diese Infrastruktur sicherlich noch weiter ausdehnen.<\/p>\n

Das passiert bei einer Infektion?<\/h2>\n

Das Installationsprogramm der Malware legt eine .exe-Datei mit einem zuf\u00e4lligen Dateinamen im Ordner %temp% ab. Diese Datei installiert die Hauptnutzlast im Ordner \"Programme\" und verwendet einen Dateinamen, der den Anschein erweckt, dass es sich um eine legitime Audio-Software handelt.<\/p>\n

\"Adrozek<\/p>\n

(Adrozek-Dateien, Quelle: Microsoft)<\/p>\n

Die Malware verwendet zwar verschiedene Namen wie Audiolava.exe, QuickAudio.exe und converter.exe. Sie wird aber wie ein gew\u00f6hnliches Programm installiert, auf das \u00fcber Einstellungen>Apps & Funktionen<\/em> zugegriffen werden kann.<\/p>\n

\"Adrozek
\n(Adrozek in Apps & features, Quelle: Microsoft)<\/p>\n

Dort l\u00e4sst sich sich mit dem registrierten Dienst deinstallieren. Allerdings tr\u00e4gt Adrozek in vorhandene Browser-Erweiterungen ein Script ein. Obwohl die Malware auf unterschiedliche Erweiterungen in den einzelnen Browsern abzielt, f\u00fcgt sie die gleichen b\u00f6sartigen Skripte zu diesen Erweiterungen hinzu. In einigen F\u00e4llen \u00e4ndert die Malware die Standarderweiterung, indem sie sieben JavaScript-Dateien und eine manifest.json-Datei zum Dateipfad der Zielerweiterung hinzuf\u00fcgt. In anderen F\u00e4llen erstellt sie einen neuen Ordner mit denselben b\u00f6sartigen Komponenten.<\/p>\n

Zudem versucht die Malware verschiedene Browser-DLLs zu ersetzen und Sicherheitseinstellungen der Browser zu manipulieren. Die Beschreibung Microsofts zu\u00a0Adrozek zeigt, dass selbst Browser-Hijacker, die nicht als kritisch angesehen werden, zunehmend komplexer werden. W\u00e4hrend das Hauptziel der Malware darin besteht, Werbung einzuschleusen und den Datenverkehr auf bestimmte Websites zu verlinken, umfasst die Angriffskette ausgekl\u00fcgelte Verhaltensweisen. Diese sollen es den Angreifern erm\u00f6glichen, die Malware auf dem Ger\u00e4t stark einzunisten. Die Hinzuf\u00fcgung von Funktionen, um Anmeldeinformationen abzugreifen zeigt, dass die Cyber-Kriminellen ihre Ziele erweitern k\u00f6nnen, um weiteres Unheit anzurichten.<\/p>\n

Adrozek erkennen und entfernen<\/h2>\n

Laut Microsoft erkennt der Windows Defender (und damit wohl auch weitere Microsoft-Produkte, die die gleiche Malware-Engine verwenden) den Sch\u00e4dling und blockiert eine Installation.\u00a0Endanwendern, die diesen Sch\u00e4dling auf ihren Ger\u00e4ten finden, wird von Microsoft empfohlen, ihre Browser neu zu installieren.<\/p>\n

In Anbetracht der massiven Infrastruktur, die f\u00fcr die Verbreitung von Adrozek genutzt wurde, sollten sich Anwender auch \u00fcber die Vermeidung von Malware-Infektionen und die Risiken des Herunterladens und Installierens von Software aus nicht vertrauensw\u00fcrdigen Quellen sowie des Anklickens von Werbung oder Links auf verd\u00e4chtigen Websites informieren.<\/p>\n

Benutzer sollten auch die Vorteile von URL-Filterl\u00f6sungen, wie z. B. Microsoft Defender SmartScreen auf Microsoft Edge, nutzen. Zudem empfiehlt Microsoft Sicherheitssoftware zum automatischen Herunterladen und Installieren von Updates zu konfigurieren. Au\u00dferdem sollten die neuesten Versionen des Betriebssystems und der Anwendungen und das Einspielen der neuesten Sicherheitsupdates beitragen, die Systeme vor solchen Bedrohungen zu sch\u00fctzen.<\/p>\n

F\u00fcr Unternehmen sollten Administratoren darauf achten, die Angriffsfl\u00e4che f\u00fcr diese Arten von Bedrohungen zu reduzieren. Dazu geh\u00f6rt auch, dass Administratoren die Verwendung von ausschlie\u00dflich autorisierten Anwendungen und Diensten erzwingen. Browser der Enterprise-Klasse wie Microsoft Edge bieten zus\u00e4tzliche Sicherheitsfunktionen wie bedingten Zugriff und Application Guard, die Bedrohungen im Browser abwehren. Weitere Details sind dem Microsoft Beitrag<\/a> zu entnehmen. (via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Das Microsoft 365-Sicherheitsteam weist auf eine Adrozek genannte Malware-Kampagne hin. Die Malware zielt auf popul\u00e4re Browser wie Google Chrome, Microsoft Edge, Firefox etc. und versucht den Browser so zu manipulieren, dass Werbung bei einer Suche ausgespielt wird. \u00dcber diesen Ansatz … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[414,4328],"class_list":["post-238827","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-browser","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238827","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=238827"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238827\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=238827"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=238827"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=238827"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}