Microsoft ha lanciato nei giorni scorsi l’allarme: una nuova famiglia di malware sta impazzando fin da maggio di quest’anno e mette a serio rischio gli utilizzatori di browser quali Edge, Chrome, Yandex e Firefox. Fatta esclusione per pochi browser (peraltro di bassa distribuzione, a parte Safari), quindi, il pericolo sembra essere alquanto diffuso ed i numeri hanno consigliato a Microsoft un’informazione più diffusa su ciò che questo attacco può porre in essere.
Quello che si apre è uno scenario non nuovo: un malware che tenta di infilarsi su quanti più sistemi possibili per monetizzarne le azioni sul browser. Questa famiglia specifica ha però caratteristiche tali da renderne particolarmente più insidiosa l’evoluzione e fin da subito, infatti, i numeri sono stati importanti. Microsoft invoca ora una azione preventiva importante perché è questa l’unica maniera per eradicare davvero l’espansione ulteriore di un malware che, una volta ampliatosi, rischia di scalare a minaccia ancor più grave e perigliosa.
Una minaccia di nome Adrozek
Microsoft fa esplicito riferimento ad una “famiglia” di malware perché sotto il nome Adrozek si cela un tentativo molto elaborato di attacco, ma in cui la matrice comune è la capacità di modificare specifiche DLL, modificando le impostazioni dei browser ed inoculando, infine, pubblicità non autorizzate sulle pagine. La finalità ultima sembra essere proprio questa, ossia monetizzare il browser “colonizzato” per riuscire a maturare introiti attraverso canali pubblicitari e affiliazioni.
Il rischio potenziale, sia pur se per il momento non esplorato, è quello di utilizzi con finalità truffaldine ancor più gravose (ad esempio tramite il furto di credenziali e dati personali). Questo un esempio di cosa possa fare il malware una volta insinuatosi nel sistema:
Il problema attanaglia in modo particolare l’Europa grazie ad un sistema che parte da una rete di 159 domini, ognuno dei quali contenente una media di 17300 url differenti, su ognuna delle quali sono disponibili versioni differenti del codice (oltre 15 mila versioni uniche identificate). Complessivamente sono già centinaia di migliaia le installazioni identificate, per un volume d’affari presumibilmente già considerevole.
Il malware ha caratteristiche particolari di persistenza e di capacità di “mimetizzarsi” tra le estensioni tale da renderlo particolarmente insidioso, per questo Microsoft spiega di essere al lavoro sul proprio Defender Antivirus per cercare di identificare a priori il problema (ad esempio filtrando specifiche url pericolose) prima che possa lasciare un segno sul proprio sistema.
Tutti i dettagli sul malware sono descritti nell’apposito approfondimento Microsoft.