마이크로소프트에 따르면 구글 크롬, 모질라 파이어폭스, 마이크로소프트 엣지, 얀덱스 웹 브라우저를 겨냥한 악성코드 캠페인이 전 세계 컴퓨터를 강타하고 있다.
2020년 5월부터 활성화된 이 캠페인은 8월 정점에 매일 30,000개 이상의 기기에서 관찰되었으며 검색 엔진 결과 페이지에 광고를 삽입하도록 설계되었습니다.
수천 대의 컴퓨터를 공격하는 Ad-Injecting 맬웨어
Microsoft 365 Defender Research Team Blog의 게시물에서 회사는 2020년 5월 초부터 멀웨어를 추적하여 전 세계적으로 확산되는 것을 지켜본 방법을 자세히 설명했습니다.
악성 코드 유형은 Adrozek으로 알려져 있습니다. Adrozek 악성코드 제품군은 브라우저 확장을 추가하고, 브라우저 설정을 변경하여 검색 결과에 광고를 삽입하고, 탐지되지 않은 상태로 유지되도록 특정 DLL을 수정합니다.
Adrozek 맬웨어가 감지되지 않으면 검색 엔진에서 볼 것으로 예상되는 광고 위에 광고를 삽입합니다. 다음 Microsoft 이미지는 차이점을 보여줍니다.
검색 결과에 삽입된 광고에는 공격자가 페이지로 전송된 트래픽 양이나 페이지 클릭을 통해 돈을 벌 수 있는 제휴 사이트에 대한 링크가 포함됩니다. 최악의 경우 누군가가 직접 구매하여 신원 및 신용 카드 사기와 같은 잠재적으로 위험한 문제를 일으킬 수 있습니다.
또한 특정 브라우저에서는 Adrozek이 더 위험합니다. Mozilla Firefox에서 Adrozek은 자격 증명 도용을 허용하는 추가 모듈을 활성화할 수 있습니다. 즉, 브라우저에 저장된 비밀번호를 도용하여 공격자에게 보냅니다.
Adrozek은 주로 유럽에 집중되어 있으며 남아시아와 동남아시아에 집중되어 있습니다. Microsoft 보고서에 따르면 이는 "지속적이고 광범위한 캠페인"에서 예상됩니다.
Microsoft는 각 도메인이 평균 17,300개의 URL을 호스팅하는 159개의 고유한 도메인을 추적했습니다. 각 URL은 평균 15,300개의 고유한 다형성 멀웨어 샘플을 호스팅합니다.
Adrozek은 어떻게 시스템에 도입됩니까?
Adrozek을 다른 유사한 브라우저 기반 맬웨어와 차별화하는 요소는 드라이브 바이 다운로드입니다.
이 경우 드라이브 바이 다운로드는 다운로드 버튼을 누르거나 다른 방법을 요구하지 않고 설치 프로그램이 컴퓨터에 나타나는 순간을 나타냅니다. 실행 시 설치 프로그램은 보조 설치 프로그램을 다운로드하고, 이 보조 설치 프로그램은 주요 맬웨어 페이로드를 차례로 다운로드하여 설치합니다.
기본 페이로드는 "QuickAudio.exe" 또는 "converter.exe"와 같은 오디오 소프트웨어와 관련된 파일 이름을 전달하므로 폴더에서 이를 위장하는 데 도움이 됩니다.
설치 후 Adrozek은 제어 서버에 접속하여 브라우저 보안 설정을 수정하기 시작합니다.
<블록 인용>브라우저에는 맬웨어 변조를 방지하는 보안 설정이 있습니다. 예를 들어 기본 설정 파일에는 민감한 데이터와 보안 설정이 포함되어 있습니다. Chromium 기반 브라우저는 여러 기본 설정에 대한 서명 및 유효성 검사를 통해 이러한 설정에 대한 무단 수정을 감지합니다.
Adrozek은 이러한 보안 설정을 비활성화 및 패치하고 브라우저 보안 업데이트를 비활성화합니다. 또한 자체 Windows 서비스 생성을 포함하여 맬웨어가 시스템에 남아 있도록 하는 여러 기능이 포함되어 있습니다.
Adrozek을 제거하는 방법
브라우저에 임의의 광고가 표시되거나 임의의 사이트로 리디렉션되는 경우 가장 먼저 할 일은 바이러스 백신 프로그램을 사용하여 바이러스 검사를 실행하는 것입니다.
또한 Malwarebytes와 같은 도구를 사용하여 2차 검사를 실행하는 것을 고려해야 합니다. 이 도구는 시스템에서 모든 유형의 맬웨어를 검사하고 제거합니다. 마지막으로 Microsoft 팀은 사용자에게 "브라우저를 다시 설치"하여 맬웨어 흔적을 제거할 것을 권장합니다.