מתקפה נרחבת מאיימת על משתמשי כרום, פיירפוקס, יאנדקס ו-Edge
חוקרי מיקרוסופט מצאו נוזקה שנראית "תמימה" ולא מזיקה למשתמשים, אבל יכולה לגרום להם להשיג גישה עמוקה יותר במכשירים מבוססי Windows ● הם איתרו יותר מ-100 דומיינים שבהם משתמשים ההאקרים, שכל אחד מהם מארח בממוצע 17,300 כתובות אתרים
קמפיין חדש של נוזקות המכוונות לדפדפני האינטרנט הפופולריים כרום, פיירפוקס, יאנדקס ו-Edge זוהה באחרונה על ידי צוות המחקר של Microsoft Defender. על פי החוקרים, מטרתו של הקמפיין היא לייצר הכנסות ממודעות לשחקנים הזדוניים. אולם, על אף שהוא עלול להיראות כלא מזיק למשתמשים, ההתנהגות המתוחכמת של הנוזקה מצביעה על כך שניתן להשתמש בה כדי להשיג גישה עמוקה יותר לנתונים במכשירים מבוססי Windows.
מיקרוסופט פרסמה אזהרה שלפיה מדובר בקמפיין זדוני נרחב, שמורכב מ-"חטיפת" דפדפני האינטרנט הפופולריים ביותר, בעשרות אלפי מכשירים מדי יום. התוקפים מסוגלים לבצע שינויים שקטים במחשבי המשתמשים כדי להזרים מודעות בתוצאות החיפוש ולהפיק מהשינויים כמות משמעותית של הכנסות. משפחת מנצלי הפרצות בדפדפנים נקראת Adrozek, והיא נצפתה בפעם הראשונה בחודש מאי.
התוקפים משתמשים ביותר מ-100 דומיינים, שכל אחד מהם מארח 17,300 כתובות אתרים בממוצע. חוקרי מיקרוסופט טוענים שמצאו יותר מ-15,300 דוגמאות נוזקה ייחודיות. בחמישה חודשים הם תיעדו מאות אלפי מקרים שבהם התגלתה משפחת Adrozek ברחבי העולם – במיוחד באירופה, בדרום אסיה ובדרום מזרח אסיה. על פי החוקרים, השיטות שבהן משתמשים התוקפים אינן חדשות, אך הן הפכו למתוחכמות יותר, וכעת ביכולתן להשפיע על כמה דפדפנים בו זמנית: פיירפוקס של מוזילה, כרום של גוגל, Edge של מיקרוסופט עצמה ויאנדקס הרוסי.
כך הנוזקה פועלת
Adrozek פועלת תחילה על ידי הוספת סיומות דפדפן ושינוי קבצי DLL ספציפיים של הדפדפן של הקורבנות, כך שתוקפים יוכלו לקבל את ההרשאות לשנות הגדרות. זה מאפשר להם להוסיף מודעות נוספות לאלה הלגיטימיות שבדפי האינטרנט שבהם מבקרים המשתמשים.
הנוזקה, ציינו החוקרים, יעילה במיוחד במנועי חיפוש כמו גוגל, שם התוקפים מסוגלים לטרגט משתמשים על סמך מילות המפתח שהם מחפשים. כך, משתמש יראה בדרך כלל תוצאות חיפוש המכילות כמה קישורים קשורים. ככל שאנשים ילחצו יותר על קישורים אלה, כך ההאקרים יקבלו יותר כסף – כיוון שהם מקבלים תשלום לפי כמות התעבורה שהם יכולים להביא לאותם דפים ממומנים.
מיקרוסופט הסבירה כי ניתן בקלות להשתמש בנוזקה כדי לגרום נזק רב יותר למחשבי הקורבנות, על ידי הזרקת נוזקות נוספות והשגת אישורי גישה. לדבריהם, התשתית כולה המאפשרת את הקמפיין משתנה באופן דינמי לאורך זמן, בעוד שהדומיינים עצמם משתפרים ומקבלים מראה לגיטימי יותר. החוקרים סיימו בכותבם כי "אם את.ה מבחין.נה בהתנהגות שכזו במערכת שלך, יש להתקין מחדש את הדפדפנים שבהם את.ה משתמש.ת וללמוד יותר על אופן מניעת הידבקות מנוזקות כגון זו".
תגובות
(0)