恶意程式Adrozek绑架浏览器执行点击诈骗、窃取密码，Chrome、Edge、Firefox都中招

微软警告一只恶意程式劫持 Chrome、Firefox及Edge等浏览器显示恶意广告目前在网络上散布，还会窃取部分用户的账号密码，最多一天感染3万台电脑。

名为Adrozek的渗透性恶意程式是一种浏览器修改程式（browser modifier）家族，它会修改目标浏览器搜索引擎设定、以插入未授权广告于网页内，借此进行点击诈骗。此外，它还会从浏览器窃取密码用于未来攻击。所有主要浏览器都受到影响。

Adrozek从今年5月就在网络上大量散布开来，而在攻击最高峰的8月，微软观测它每天在超过3万台装置上活动。

微软解释Adrozek攻击步骤。它一开始是利用大量网域代管数千个URL进行挂马（drive-by）攻击，以各种名目吸引用户下载。一旦安装到电脑后，就会修改浏览器插件及特定DLL档。

修改插件目的在加入JavaScript以连接外部服务器，以显示恶意广告在搜寻结果页上，修改DLL档则是为了关闭安全设定，确保浏览器下载恶意外挂，以及关闭浏览器更新以免安全设定被回复。另外，它也会修改系统设定以降低被安全软件侦测到，以扩大在受害者电脑内的潜伏期。

在修改电脑设定后，Adrozek便可以开始主要活动。它的恶意Script会在搜寻结果页及结果页最上方的合法广告上插入广告，目的是引诱搜寻特定关键字的使用者点入已被它注入的广告，再连到广告联盟网页，借此赚取导流收入，即点击诈骗。

主要浏览器包括Chrome、Edge、Firefox及Yandex都受到这波攻击的影响。而在Firefox上，Adrozek还会再多一招，它还下载一个执行档以搜集装置资讯、目前有效的用户账号名称，以及存取储存Firefox密码及上网纪录的档案，再将这些资讯传给攻击者。

微软指出，会执行点击诈骗的程式并不少见，但Adrozek冒充多种名目、潜伏在电脑内的手法，以及窃取用户密码的行为，显示攻击者手法愈来愈高明，且野心也更大。

发现这类攻击的个人用户，微软建议重新安装浏览器。至于企业用户，微软则建议切断这些威胁的攻击面，像是启动应用控管，只允许使用经授权的App和服务，或是使用端点安全产品，并找出其他网域（如云端App）、电子邮件、和身份等威胁和端点资料的关联性。