微软于本周四表示，一场正在进行的恶意软件攻击运动正在炮轰互联网，这些恶意软件会阉割网络浏览器的安全性，添加恶意浏览器扩展，并对用户的电脑进行其它改动。

软件制造商将恶意软件家族命名为Adrozek，它依赖一个庞大的分销网络，该网络由159个独特域名组成，每个域名平均托管1.73万个独特url。而这些url平均托管着15300个独特的恶意软件样本。这一行动不迟于5月份开始，并在8月份达到高峰，当时每天有3万台设备被发现存在恶意软件。

不是你父亲的附属机构骗局

这种攻击针对的是Chrome、Firefox、Edge和Yandex浏览器，而且还在继续。目前的最终目标是在搜索结果中插入广告，这样攻击者就可以从附属机构那里收取费用。虽然这些类型的活动是常见的，代表较少的威胁比许多类型的恶意软件，Adrozek脱颖而出，因为恶意修改它的安全设置和其他恶意行动，它执行。

来自微软365卫士研究团队的研究人员在一篇博文中写道:“网络犯罪分子滥用附属程序并不是一种新的浏览器修改程序，而是一些最古老的威胁类型。”“然而，这个活动利用了一个恶意软件影响多个浏览器的事实表明，这种威胁类型是如何继续越来越复杂。此外，该恶意软件会保持持久性并窃取网站凭据，将受影响的设备暴露在额外的风险之下。”

该帖子称，Adrozek是“通过自动下载”安装的。安装程序文件名使用剩余的。exe格式。攻击者在Windows临时文件夹中放置一个文件，而这个文件又将主有效负载放置在program files目录中。这个有效载荷使用一个文件名，使恶意软件看起来是合法的音频相关软件，名字如Audiolava。exe, QuickAudio。exe, converter.exe。该恶意软件的安装方式与正版软件相同，可以通过设置>Apps & Features访问，并以相同的文件名注册为Windows服务。

下图显示了Adrozek攻击链:

一旦安装完毕，Adrozek会对浏览器和运行系统做一些修改。例如，沐鸣开户测速在Chrome上，恶意软件经常会对Chrome媒体路由器服务做出改变。其目的是通过使用id(如“Radioplayer”)安装伪装成合法扩展的扩展。

坏的扩展!

这些扩展连接到攻击者的服务器以获取额外的代码，这些代码将广告注入到搜索结果中。这些扩展还向攻击者发送有关受感染计算机的信息，在Firefox上，它还试图窃取凭证。恶意软件继续篡改某些DLL文件。例如，恶意软件会修改mseg .dll，从而关闭帮助检测对安全首选项文件的未授权更改的安全控制。

这种技术以及其他受影响浏览器的类似技术可能会带来严重的后果。首选项文件检查各种文件和设置的值的完整性。通过取消这个检查，Adrozek打开了浏览器对其他攻击。该恶意软件还向文件添加了新的权限。

下面是一个屏幕截图，显示添加到边缘:

微软

然后，该恶意软件会修改系统设置，以确保每次重启浏览器或计算机时它都能运行。从那时起，沐鸣开户测速Adrozek会在搜索引擎提供的广告中插入一些广告，这些广告要么与搜索引擎提供的广告一起出现，要么放在搜索引擎的广告上面。

周四的帖子没有明确说明感染发生需要什么样的用户交互。我们也不清楚像用户帐户控制这样的防御措施有什么效果。微软没有提及这次针对macOS或Linux浏览器的攻击，所以这次攻击可能只影响Windows用户。微软的代表没有回复记者询问细节的电子邮件。

这项运动使用了一种称为多态性的技术来产生数十万个独特的样本。这使得基于签名的防病毒保护无效。许多反病毒软件——包括微软的防御软件——都有基于行为的、机器学习的检测手段，可以更有效地防范此类恶意软件。