名為Adrozek惡意軟體潛入各大搜尋瀏覽器，執行點擊詐騙並竊取個資密碼

微軟警告一支名為Adrozek會竄改瀏覽器的進化版惡意軟體不斷被有心人士散播，此波攻勢從2020年5月開始至8月高峰時期據悉每天約有3萬臺裝置傳出災情。Microsoft Edge、Google Chrome、Yandex Browser、Mozilla Firefox等都中招

  #3C資訊 #微軟 #資安 #APP

        

近來一支會竄改瀏覽器的進化版惡意軟體不斷被有心人士散播，此波攻勢從2020年5月開始至8月高峰時期每天約有3萬臺裝置傳出災情。此惡意軟體會在搜尋結果頁面中插入廣告，且影響Microsoft Edge、Google Chrome、Yandex Browser、Mozilla Firefox等多種瀏覽器，由此可見攻擊者打算盡可能地增加受感染網路使用者的數量。

此系列竄改瀏覽器的惡意軟體，微軟將其統稱為Adrozek，若未能及時偵測、防堵，Adrozek將在瀏覽器安裝擴充功能，並針對目標瀏覽器修改特定DLL檔、改變瀏覽器設定，在網頁內植入未經授權的廣告，其多半出現於搜尋結果頁的合法廣告上方，目的是要讓搜尋特定關鍵字的使用者不小心點擊惡意軟體的廣告，進而連結至廣告聯盟網頁，此時攻擊者就能根據導向的網路流量中獲取不法的廣告分潤。

▲受Adrozek感染及未受感染裝置的搜尋結果頁面比較

雖然網路犯罪者利用聯盟網頁並非新鮮事，畢竟瀏覽器修改程式是歷史最為悠久的一種資安威脅，然而此種惡意軟體能攻擊多種瀏覽器顯見此類手法不斷變得更為精細複雜，不僅能維持攻勢，還能竊取網站帳密等憑證，使得受感染裝置又增添幾分風險。

要持續進行如此大範圍的攻擊活動，其基礎架構必須便於擴展且能動態調整。微軟追蹤159個不同網域，每個網域平均託管17,300個獨立的URL，每個URL又平均託管了超過15,300個型態各異的多型（polymorphic）Adrozek安裝程式。總體而言，2020年5月到9月間微軟在全球各地發現數十萬起感染Adrozek惡意軟體的紀錄，多半集中於歐洲、南亞及東南亞。隨著攻勢持續推進，Adrozek 的基礎架構仍在不斷擴張。

微軟指出，會執行點擊詐騙的程式並不少見，但Adrozek冒充多種名目、潛伏在電腦內的手法，以及竊取用戶密碼的行為，顯示攻擊者手法愈來愈高明。

此惡意軟體攻擊方式包含多個組件、多種型態，且不斷進化的行為模式。若想有效防止其大規模的持續攻勢，需要的並非特定元件，而是先進的行為偵測能力，且要能清楚掌握整個攻擊鏈狀況。 Microsoft Defender防毒軟體 是Windows 10內建的端點保護解決方案，能提供行為導向、機器學習式的保護，防堵此類威脅。在企業用戶方面，則有Microsoft 365 Defender幫助深度掌握惡意行為。

若以招受攻擊的個人用戶，微軟建議重新安裝瀏覽器。至於企業用戶，微軟則建議切斷這些威脅的攻擊面，像是啟動應用控管，只允許使用經授權的App和服務，或是使用端點安全產品，並找出其他網域（如雲端App）、電子郵件、和身份等威脅和端點資料的關聯性。