2min Security

Microsoft waarschuwt voor virus dat browser kaapt en gegevens steelt

Microsoft waarschuwt voor virus dat browser kaapt en gegevens steelt

Microsoft heeft een virus gevonden dat neppe zoekresultaten creëert en ondertussen opgeslagen inloggegevens kaapt. Het Windows-virus, genaamd Adrozek, is op minstens 30.000 computers geïnstalleerd.

Het virus verspreidt zich door slachtoffers met een malafide website over te halen de malafide software te downloaden en installeren, schrijft Microsoft in een blogpost. Zodra de software geïnstalleerd is, stelt het zichzelf met een registersleutel in om mee te starten wanneer de computer opgestart wordt. Eenmaal geïnstalleerd doet het zich voor als legitieme software door namen als Audiolava.exe, QuickAudio.exe of converter.exe te gebruiken.

Malafide browserextensie

Vervolgens controleert het virus welke browsers er op de computer geïnstalleerd staan. Specifiek worden Microsoft Edge, Google Chrome, Mozilla Firefox en de Yandex Browser genoemd. Het virus voegt een extensie aan de browsers toe en schakelt beveiligingsfuncties van de browsers uit. ZDNet noemt de verdere wijzigingen op die het virus uitvoert:

  • Browserupdates uitschakelen;
  • Checks van bestandsintegriteit uitschakelen;
  • Safe Browsing-functie uitschakelen
  • Een malafide extensie installeren;
  • Die extensie in incognitomodus laten draaien;
  • De extensie zonder de juiste toestemming laten draaien;
  • De extensie uit het zicht van de toolbar houden;
  • De startpagina van de browser aanpassen;
  • De standaardzoekmachine aanpassen.

De extensie is vooral bedoeld om de zoekresultaten van browsers aan te passen om extra linkt toe te voegen naar advertentiewebsites of neppe winacties. Bovendien steelt de extensie opgeslagen wachtwoorden en verstuurt die ze naar de servers van de aanvaller.

20201211-Fig1-Comparison-of-search-results
Voorbeeld van gewijzigde zoekresultaten

Enorme schaal

De onderzoekers van Microsoft heeft 159 verschillende domeinen gevonden waarop in de periode vanaf mei 2020 het virus verspreid is. Op de domeinen waren tienduizenden tot honderdduizenden verschillende url’s aangemaakt, wat een indicatie moet geven van de schaal van de operatie.

Het virus komt voornamelijk voor in Europa, Zuid-Azië en Zuidoost-Azië. Microsoft verwacht dat het virus in de komende maanden nog verder groeit, en daarbij telkens van nieuwe verspreidingsmethoden gebruikmaakt. Het bedrijf raadt slachtoffers aan om hun browser te verwijderen en opnieuw te installeren.

20201211-Fig2-Geographic-distribution
Verspreiding van het virus tussen mei en september 2020

Tip: Een van de ernstigste Windows-bugs van het jaar wordt misbruikt