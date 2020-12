Sous le nom de Adrozek, un nouveau malware (au moins détecté comme nouveau) a infecté des milliers d’appareils ces derniers mois. Une fois qu’il s’infiltre dans un ordinateur, il modifie le navigateur pour le remplir de publicités dans les résultats de recherche de l’utilisateur. Voici ce que Microsoft a découvert à son sujet.





Comme l’entreprise l’a partagé, le malware a été actif au moins depuis mai 2020. Ils estiment qu’en août de cette année, il contrôlait environ 30 000 navigateurs par jour. Ils croient que c’était son apogée, bien qu’il soit toujours présent. Comme ils ont pu estimer, entre mai et septembre, ils ont pu observer des centaines de milliers d’appareils avec Adrozek.

Grâce aux outils internes de l’équipe de recherche sur la sécurité de Microsoft 365, nous pouvons voir quelles régions du monde ont été les plus touchées. Il malware il parait a été distribué avec une force particulière en Europe, où se trouvent la plupart des périphériques infectés. Il y en a aussi en Inde et en Asie du Sud-Est, ainsi que de petites traces en Amérique du Sud et dans d’autres parties du monde.

D’après les recherches qu’ils ont effectuées, estiment que la distribution d’Adrozek est très sophistiquée. Ils ont pu le détecter dans près de 160 pages différentes qui le distribuent avec plus de 15 000 installateurs contenant le malware. De plus, les attaquants renouvellent continuellement la distribution avec des URL dynamiques pour éviter la détection. Nous avons besoin d’un autre héros anonyme pour le désinstaller à distance.

Comment Adrozek infecte un appareil et ce qu’il fait ensuite

Selon les recherches de Microsoft, le malware atteint un ordinateur en téléchargeant et en installant du Logiciel à partir de pages en ligne. Habituellement, il prétend être un autre programme et une fois installé, il commence à fonctionner. C’est pourquoi il est toujours recommandé d’installer des applications à partir de magasins d’applications officiels ou de distributeurs vérifiés.

Une fois à l’intérieur de l’ordinateur, la première chose qu’il fait est assurez-vous qu’il reste sur votre ordinateur malgré le redémarrage ou la suppression du contenu (heureusement pas au niveau de malware pour Android qui est réinstallé même si le mobile est restauré). Pour ce faire, vous obtenez une clé d’enregistrement. Lorsqu’il a atteint cet objectif, il commence à rechercher les navigateurs installés sur l’ordinateur pour commencer à diffuser de la publicité.

Microsoft dit l’avoir vu attaquer Chrome, Edge, Firefox et Yandex entre autres. Si il malware find l’un de ces navigateurs installé installe automatiquement une extension qui modifie les préférences du navigateur et les dossiers internes afin qu’elle ne soit pas détectée. Vous pouvez par exemple désactiver les mises à jour du navigateur, désactiver la navigation sécurisée, modifier la page d’accueil, modifier le moteur de recherche et plus encore.

De là, il s’agit de afficher des dizaines d’annonces dans les résultats de recherche. Les annonces s’affichent comme n’importe quelle autre page dans les recherches lors de la recherche d’un terme. Entrer dans ces pages et interagir avec elles redirige le trafic vers des pages qui génèrent des revenus publicitaires à l’attaquant.

Via | Microsoft