Google Chrome, Firefox, autres navigateurs touchés par une vaste campagne de logiciels malveillants: Microsoft

Les navigateurs Google Chrome, Firefox, Microsoft Edge et Yandex sont affectés par une campagne de logiciels malveillants en cours conçue pour injecter des publicités dans les résultats de recherche et ajouter des extensions de navigateur malveillantes, a révélé Microsoft jeudi. Surnommée Adrozek, la famille de logiciels malveillants récemment découverte est à grande échelle depuis au moins mai de cette année et les attaques ont culminé en août, la menace étant détectée sur plus de 30000 appareils chaque jour.

Microsoft a déclaré que de mai à septembre, il avait enregistré des centaines de milliers de rencontres avec le malware Adrozek dans le monde. La société a suivi 159 domaines uniques, chacun hébergeant en moyenne 17 300 URL uniques, qui, à leur tour, hébergent en moyenne plus de 15 300 échantillons de logiciels malveillants polymorphes distincts.

Le but ultime de la nouvelle campagne contre les logiciels malveillants est de diriger les utilisateurs vers des pages affiliées en diffusant des publicités insérées par des logiciels malveillants dans les résultats de recherche. Cependant, pour commencer l’action, le logiciel malveillant ajoute silencieusement des extensions de navigateur malveillantes et modifie les paramètres du navigateur pour insérer des publicités dans les pages Web – souvent en plus des publicités légitimes des moteurs de recherche. On prétend également modifier la DLL par navigateur cible, MsEdge.dll sur Microsoft Edge par exemple, pour désactiver les contrôles de sécurité.

L’équipe de recherche Microsoft 365 Defender a noté dans un article de blog que bien que les cybercriminels abusant des programmes d’affiliation ne soient pas nouveaux, cette campagne utilisait un logiciel malveillant qui affectait plusieurs navigateurs. Le logiciel malveillant exfiltre également les informations d’identification du site Web, ce qui peut entraîner des risques supplémentaires pour les utilisateurs.

Ce qui différencie Adrozek des menaces de logiciels malveillants antérieures, c’est qu’il est installé sur des appareils «via le téléchargement au volant» dans lequel les noms de fichiers du programme d’installation portent un format standard de setup_.exe. Lorsqu’il est exécuté, le programme d’installation supprime un fichier .exe avec un nom de fichier aléatoire dans le dossier temporaire, qui, à son tour, supprime la charge utile principale dans le dossier Program Files. Cette charge utile ressemble à un logiciel audio légitime et porte des noms tels que Audiolava.exe, QuickAudio.exe ou Converter.exe.

Les chercheurs ont constaté que le malware est installé comme un programme habituel et est accessible via les paramètres Applications et fonctionnalités. Il est également enregistré en tant que service Windows avec le même nom. Ces astuces peuvent l’empêcher d’être attrapé par un logiciel antivirus ordinaire.

Cependant, comme tout autre malware, une fois installé, Adrozek apporte des modifications à certaines extensions de navigateur. L’équipe Microsoft l’a noté spécifiquement sur Google Chrome. Il modifie généralement l’extension par défaut «Chrome Media Router». De même, sur Microsoft Edge et Yandex Browser, il utilise les identifiants d’extensions légitimes, telles que «Radioplayer».

«Malgré le ciblage d’extensions différentes sur chaque navigateur, le malware ajoute les mêmes scripts malveillants à ces extensions», a déclaré l’équipe de chercheurs de Microsoft dans l’article du blog.

Les scripts malveillants aident les attaquants à établir une connexion avec leur serveur et à récupérer des scripts supplémentaires qui permettent d’injecter des publicités dans les résultats de recherche.

«Par le passé, les modificateurs de navigateur calculaient les hachages comme le font les navigateurs et mettaient à jour les préférences sécurisées en conséquence. Adrozek va encore plus loin et corrige la fonction qui lance le contrôle d’intégrité », indique le message.

Adrozek s’avère également capable d’empêcher les navigateurs d’être mis à jour avec les dernières versions en ajoutant une politique pour désactiver les mises à jour. En outre, il modifie les paramètres du système pour avoir un contrôle supplémentaire sur l’appareil compromis.

Il y a eu une forte concentration d’Adrozek en Europe, en Asie du Sud et en Asie du Sud-Est, ont déclaré les chercheurs. Cependant, comme la campagne est toujours active, elle pourrait s’étendre à d’autres zones géographiques au fil du temps.

Microsoft suggère aux utilisateurs d’installer une solution antivirus telle que Microsoft Defender Antivirus, dotée d’une solution de protection des points de terminaison intégrée, qui utilise des détections basées sur le comportement et basées sur l’apprentissage automatique pour bloquer les familles de logiciels malveillants, y compris Adrozek.

Cela dit, la portée de la dernière campagne de logiciels malveillants semble limitée aux appareils Windows car il n’y a pas de résultats pour mettre en évidence son impact sur les machines macOS ou Linux.

Plus tôt cette année, Microsoft a extrait une liste d’extensions de ses magasins Edge Add-ons qui injectaient des annonces dans les résultats de recherche Google et Bing. Google a également pris une mesure similaire sur le Chrome Web Store pour empêcher les attaquants de générer des revenus en poussant discrètement des annonces vers les résultats de recherche. Cependant, une campagne de logiciels malveillants comme Adrozek semble nécessiter une approche plus stricte concernant l’extraction de certaines extensions des magasins Web.


Apple Silicon mènera-t-il à des MacBook abordables en Inde? Nous en avons discuté sur Orbital, notre podcast technologique hebdomadaire, auquel vous pouvez vous abonner via Apple Podcasts, Google Podcasts ou RSS, télécharger l’épisode ou simplement cliquer sur le bouton de lecture ci-dessous.

Des liens d’affiliation peuvent être générés automatiquement – voir notre déclaration d’éthique pour plus de détails.

★★★★★

A lire également