Adrozek: malware capaz de infectar 30.000 sistemas al día

Microsoft revela algunos detalles sobre Adrozek, un malware capaz de atacar a los principales navegadores web.

Microsoft ha dado la noticia de un nuevo malware llamado Adrozek que se ha extendido poderosamente entre los usuarios de todo el mundo durante los últimos meses. Para demostrar lo peligroso del malware, Adrozek ha logrado infectar a más de 30.000 sistemas Windows en un solo día.

El malware se propaga utilizando la conocida técnica “Drive-by-Download”: “descarga involuntaria de software de ordenador proveniente de Internet”.

Microsoft no lo especifica claramente como se puede ejecutar de manera automática la descarga, pero casi con toda seguridad los ciberdelincuentes tratan de explotar las vulnerabilidades conocidas presentes en los principales navegadores (las últimas versiones ya han solucionado el problema) para ejecutar el código dañino.

Una vez que se ejecuta en el sistema Windows, Adrozek intenta ocultar su presencia utilizando nombres de los controladores de audio conocidos y crea un nuevo servicio del mismo nombre.

El malware fue diseñado y desarrollado para robar credenciales personales de los administradores de contraseñas de los principales navegadores y para cambiar el comportamiento del navgeador: los objetivos son Chrome, Edge, Firefox y Yandex Browser.

Si no se detecta y se bloquea, Adrozek añade extensiones maliciosas, modifica un archivo DLL específico para cada navegador, su configuración con el fin de insertar anuncios no autorizados en páginas web.

Microsoft ha detectado que Adrozek sigue estando muy activo, y los desarrolladores de malware han añadido dominios adicionales a través de los cuales enviar instrucciones para ejecutarse en sistemas infectados. "La infraestructura de implementación de malware es muy dinámica: algunos dominios se han estado ejecutando durante un solo día mientras están en funcionamiento durante un máximo de 120 días", dicen los expertos del equipo de investigación de Microsoft 365 Defender. "Curiosamente, hemos visto algunos de los dominios implementar aplicaciones benignas como Process Explorer. Esto es probablemente un intento de los atacantes para mejorar la reputación de sus dominios y direcciones URL, al mismo tiempo que intenta eludir las protecciones de malware activado por la red."

El malware deshabilita las comprobaciones de seguridad en Edge, Chrome y otros navegadores web basados en Chromium y también deshabilita las actualizaciones automáticas del navegador en los equipos infectados para garantizar que los componentes del navegador modificados no se restauren automáticamente.