Según Microsoft, una campaña de malware en curso dirigida a los navegadores web Google Chrome, Mozilla Firefox, Microsoft Edge y Yandex está llegando a las computadoras de todo el mundo.

La campaña, activa desde mayo de 2020, se observó en más de 30,000 dispositivos diariamente en su pico de agosto y está diseñada para inyectar anuncios en la página de resultados de su motor de búsqueda.

La inyección de publicidad maliciosa llega a miles de computadoras

En una publicación en el Blog del equipo de investigación de Microsoft 365 Defender , la compañía detalló cómo habían rastreado el malware desde principios de mayo de 2020, viéndolo propagarse por todo el mundo.

El tipo de malware se conoce como Adrozek. La familia de malware Adrozek agrega extensiones de navegador, cambia la configuración del navegador para inyectar anuncios en sus resultados de búsqueda y modifica una DLL específica para que no se detecte.

Si no se detecta el malware Adrozek, inyectará anuncios por encima de los que espera ver en su motor de búsqueda. La siguiente imagen de Microsoft ilustra la diferencia:

Los anuncios insertados en los resultados de búsqueda incluyen enlaces a sitios afiliados, donde el atacante puede ganar dinero a través del volumen de tráfico enviado a la página o mediante clics en la página. En el peor de los casos, alguien podría realizar una compra directa, lo que generaría problemas potencialmente peligrosos como el fraude de identidad y tarjetas de crédito.

Además, en ciertos navegadores, Adrozek es más peligroso. En Mozilla Firefox, Adrozek puede activar un módulo adicional que permite el robo de credenciales. En resumen, roba las contraseñas almacenadas en su navegador y se las envía al atacante.

Adrozek se centra principalmente en Europa, con otra gran concentración en el sur de Asia y el sudeste asiático. Según el informe de Microsoft, esto se espera de una “campaña sostenida y de largo alcance”.

Microsoft rastreó 159 dominios únicos, con cada dominio alojando un promedio de 17.300 URL. Cada URL aloja un promedio de 15,300 muestras de malware polimórfico único.

Relacionado: Los principales tipos de virus informáticos a tener en cuenta

¿Cómo llega Adrozek a su sistema?

Algo que distingue a Adrozek de otros programas maliciosos similares basados ??en navegador es la descarga automática.

En este caso, una descarga drive-by se refiere al momento en que el instalador aparece en su máquina sin necesidad de presionar el botón de descarga o de otra manera. Cuando se ejecuta, el instalador descarga un instalador secundario, que a su vez descarga e instala la carga útil principal del malware.

La carga útil principal lleva un nombre de archivo relacionado con el software de audio, como “QuickAudio.exe” o “converter.exe”, que ayuda a ocultarlo en sus carpetas.

Después de la instalación, Adrozek se pone en contacto con su servidor de control y comienza a modificar la configuración de seguridad del navegador.

Los navegadores tienen configuraciones de seguridad que protegen contra la manipulación de malware. El archivo de preferencias, por ejemplo, contiene datos confidenciales y configuraciones de seguridad. Los navegadores basados ??en Chromium detectan cualquier modificación no autorizada a esta configuración a través de firmas y validación en varias preferencias.

Adrozek deshabilita y aplica parches sobre estas configuraciones de seguridad, además de deshabilitar las actualizaciones de seguridad del navegador. También incluye varias funciones para ayudar a que el malware permanezca en su sistema, incluida la creación de su propio servicio de Windows.

Cómo quitar Adrozek

Si observa que su navegador muestra anuncios aleatorios o lo redirecciona a sitios aleatorios, lo primero que debe hacer es ejecutar un análisis de virus con su programa antivirus.

Relacionado: La guía completa de eliminación de malware

También debe considerar ejecutar un análisis secundario con una herramienta como Malwarebytes, que buscará y eliminará todo tipo de malware de su sistema. Finalmente, el equipo de Microsoft aconseja a los usuarios que “reinstalen sus navegadores” para eliminar cualquier rastro de malware.

Acerca del autor