Microsoft के अनुसार, Google Chrome, Mozilla Firefox, Microsoft Edge, और Yandex वेब ब्राउज़र को लक्षित करने वाला एक चल रहा मैलवेयर अभियान दुनिया भर के कंप्यूटरों को प्रभावित कर रहा है।
मई 2020 से सक्रिय यह अभियान अगस्त के चरम पर प्रतिदिन 30,000 से अधिक उपकरणों पर देखा गया और इसे आपके खोज इंजन परिणाम पृष्ठ में विज्ञापनों को सम्मिलित करने के लिए डिज़ाइन किया गया है।
विज्ञापन-इंजेक्टिंग मैलवेयर हज़ारों कंप्यूटरों को प्रभावित करता है
माइक्रोसॉफ्ट 365 डिफेंडर रिसर्च टीम ब्लॉग पर एक पोस्ट में, कंपनी ने विस्तार से बताया कि कैसे उन्होंने मई 2020 की शुरुआत से मैलवेयर को दुनिया भर में फैलते हुए देखा था।
मैलवेयर प्रकार को एड्रोज़ेक के रूप में जाना जाता है। Adrozek मैलवेयर परिवार ब्राउज़र एक्सटेंशन जोड़ता है, आपके खोज परिणामों में विज्ञापनों को इंजेक्ट करने के लिए ब्राउज़र सेटिंग्स बदलता है, और पता न चलने के लिए एक विशिष्ट DLL को संशोधित करता है।
यदि एड्रोज़ेक मैलवेयर का पता नहीं चलता है, तो यह आपके खोज इंजन में देखे जाने वाले विज्ञापनों के ऊपर विज्ञापन डालेगा। निम्न Microsoft छवि अंतर दर्शाती है:
खोज परिणामों में डाले गए विज्ञापनों में संबद्ध साइटों के लिंक शामिल होते हैं, जहां हमलावर पृष्ठ पर भेजे गए ट्रैफ़िक की मात्रा या पृष्ठ क्लिक के माध्यम से पैसा कमा सकता है। कम से कम, कोई व्यक्ति प्रत्यक्ष खरीदारी कर सकता है, जिससे पहचान और क्रेडिट कार्ड धोखाधड़ी जैसे संभावित खतरनाक मुद्दे खुल सकते हैं।
इसके अलावा, कुछ ब्राउज़रों पर, एड्रोज़ेक अधिक खतरनाक है। मोज़िला फ़ायरफ़ॉक्स पर, एड्रोज़ेक एक अतिरिक्त मॉड्यूल को सक्रिय कर सकता है जो क्रेडेंशियल चोरी की अनुमति देता है। संक्षेप में, यह आपके ब्राउज़र में संग्रहीत पासवर्ड चुरा लेता है और उन्हें हमलावर को भेजता है।
Adrozek मुख्य रूप से यूरोप के आसपास केंद्रित है, दक्षिण एशिया और दक्षिण पूर्व एशिया में एक और भारी एकाग्रता के साथ। Microsoft की रिपोर्ट के अनुसार, यह "निरंतर, दूरगामी अभियान" से अपेक्षित है।
Microsoft ने 159 अद्वितीय डोमेन को ट्रैक किया, जिसमें प्रत्येक डोमेन औसतन 17,300 URL होस्ट करता है। प्रत्येक URL औसतन 15,300 अद्वितीय, बहुरूपी मैलवेयर नमूनों को होस्ट करता है।
Adrozek आपके सिस्टम पर कैसे आता है?
कुछ ऐसा जो एड्रोज़ेक को अन्य समान ब्राउज़र-आधारित मैलवेयर से अलग करता है, वह है ड्राइव-बाय डाउनलोड।
इस मामले में, एक ड्राइव-बाय डाउनलोड उस क्षण को संदर्भित करता है जब इंस्टॉलर आपकी मशीन पर दिखाई देता है बिना आपको डाउनलोड बटन को हिट करने की आवश्यकता होती है या अन्यथा। चलाते समय, इंस्टॉलर एक द्वितीयक इंस्टॉलर डाउनलोड करता है, जो बदले में मुख्य मैलवेयर पेलोड को डाउनलोड और इंस्टॉल करता है।
मुख्य पेलोड में ऑडियो सॉफ़्टवेयर से संबंधित एक फ़ाइल नाम होता है, जैसे "QuickAudio.exe" या "converter.exe" जो इसे आपके फ़ोल्डर में छिपाने में मदद करता है।
स्थापना के बाद, एड्रोज़ेक अपने नियंत्रण सर्वर से संपर्क करता है और ब्राउज़र सुरक्षा सेटिंग्स को संशोधित करना शुरू कर देता है।
<ब्लॉककोट>ब्राउज़र में सुरक्षा सेटिंग्स होती हैं जो मैलवेयर से छेड़छाड़ से बचाव करती हैं। उदाहरण के लिए, प्राथमिकता फ़ाइल में संवेदनशील डेटा और सुरक्षा सेटिंग्स होती हैं। क्रोमियम-आधारित ब्राउज़र कई प्राथमिकताओं पर हस्ताक्षर और सत्यापन के माध्यम से इन सेटिंग्स में किसी भी अनधिकृत संशोधन का पता लगाता है।
एड्रोज़ेक इन सुरक्षा सेटिंग्स को अक्षम और पैच करता है, साथ ही ब्राउज़र सुरक्षा अपडेट को अक्षम करता है। इसमें मैलवेयर को आपके सिस्टम पर बने रहने में मदद करने के लिए कई फ़ंक्शन भी शामिल हैं, जिसमें स्वयं की Windows सेवा बनाना भी शामिल है।
Adrozek कैसे निकालें
यदि आप देखते हैं कि आपका ब्राउज़र यादृच्छिक विज्ञापन प्रदर्शित कर रहा है या आपको यादृच्छिक साइटों पर पुनर्निर्देशित कर रहा है, तो सबसे पहले आपको अपने एंटीवायरस प्रोग्राम का उपयोग करके एक वायरस स्कैन चलाना होगा।
आपको मालवेयरबाइट्स जैसे टूल का उपयोग करके द्वितीयक स्कैन चलाने पर भी विचार करना चाहिए, जो आपके सिस्टम से सभी प्रकार के मैलवेयर को स्कैन करेगा और हटा देगा। अंत में, Microsoft टीम उपयोगकर्ताओं को किसी भी मैलवेयर के निशान को हटाने के लिए "अपने ब्राउज़र को फिर से स्थापित करने" की सलाह देती है।