マイクロソフトによると、Google Chrome、Mozilla Firefox、Microsoft Edge、Yandexのブラウザを標的としたマルウェア攻撃が、世界中のコンピュータで進行中とのことです。

2020年5月から活動を開始し、8月のピーク時には1日3万台以上の端末で実施されていたこのキャンペーンは、検索エンジンの検索結果ページに広告を注入することを目的としています。

広告が埋め込まれたマルウェアが数千台のコンピュータに感染

同社は、Microsoft 365 Defender Research Teamブログの記事で、2020年5月初旬からマルウェアを追跡し、世界中に拡散する様子を目撃したことを詳しく紹介しています。

このマルウェアの種類はAdrozekと呼ばれています。Adrozekマルウェア・ファミリーは、ブラウザ拡張機能を追加し、ブラウザの設定を変更して検索結果に**広告を出し、特定のDLLを改変して検出されないようにします。

Adrozekマルウェアが検出されない場合、検索エンジンで表示したい広告の上に広告を表示します**。次のマイクロソフトの画像は、その違いを説明するものです。

** 検索結果への広告には、攻撃者がページに送られたトラフィックやページのクリックによってお金を稼ぐことができる関連サイトへのリンクが含まれています。最悪の場合、誰かが直接購入する可能性もあり、個人情報やクレジットカードの不正利用など、危険な問題が露見する可能性があります。

さらに、一部のブラウザでは、Adrozekはさらに危険です。mozillafirefoxでは、Adrozekは、資格情報を盗むことを可能にする追加のモジュールを有効にすることができます。要するに、ブラウザに保存されているパスワードを盗み出し、攻撃者に送りつけるのである。

アドロジェックは欧州に、もう一つは南・東南アジアに集中しています。マイクロソフトの報告書によると、これは "進行中の広範囲に及ぶキャンペーン "だそうです

マイクロソフトは、159のユニークなドメインを追跡し、それぞれが平均17,300のURLをホストしていることを確認しました。各URLには、平均15,300個のユニークなポリモーフィックマルウェアサンプルがホストされていました。

関連：注意すべき主なコンピューターウイルスの種類

adrozekはどうやってあなたのシステムに入ったのですか？

Adrozekが他の類似のブラウザベースのマルウェアと異なる点は、ドライブバイダウンロードです。

この場合、ドライブバイダウンロードとは、ダウンロードボタンをクリックするなどしなくても、インストーラーがパソコンに表示される瞬間を指します。実行すると、インストーラは二次インストーラをダウンロードし、その二次インストーラが主なマルウェアの負荷をダウンロードしインストールする。

主なペイロードは、例えば「QuickAudio.exe」や「Converter.exe」など、オーディオソフトウェアに関連するファイルの名前を運び、フォルダ内に隠すのに役立ちます。

インストールされると、Adrozekはそのコントロールサーバーに連絡し、ブラウザのセキュリティ設定の変更を開始します。

ブラウザには、マルウェアによる改ざんを防御するためのセキュリティ設定があります。例えば、Preferencesファイルには、機密データやセキュリティ設定が含まれています。Chromiumベースのブラウザは、これらの設定に対する不正な変更を、シグネチャと複数の環境設定に関する検証によって検出します。

Adrozekは、これらのセキュリティ設定を無効にしてパッチを当てるとともに、ブラウザのセキュリティアップデートを無効にしています。また、独自のWindowsサービスを作成するなど、マルウェアがシステム上に留まるための機能も備えています。

アドロジェックの削除方法

ブラウザがランダムに広告を表示したり、ランダムなウェブサイトにリダイレクトされることに気づいたら、まず、アンチウイルスプログラムを使用してウイルススキャンを実行することが重要です。

関連：マルウェア完全駆除ガイド

また、システムからあらゆる種類のマルウェアをスキャンして除去するMalwarebytesなどのツールを使って、二次スキャンを実行することも検討すべきです。最後に、マイクロソフトチームは、マルウェアの痕跡を取り除くために、ユーザーに「ブラウザの再インストール」を推奨しています。