Seit mindestens Mai 2020 verbreitet sich eine Malware, die als Browser-Erweiterung getarnt die Suchergebnisse der Suchmaschinen verändert und durch Klicks auf die Links werden hohe Werbegelder kassiert.
Das betrifft viele Browser, so den Microsoft Edge, Google Chrome, den Yandex Browser und auch Firefox. Microsoft nennt diese Modifikation Adrozek. Durch die manipulierten Browser-Erweiterungen werden Einstellungen durch veränderte DLLs vom Browser geändert. Microsoft selber hat zum Höhepunkt die Bedrohung auf über 30.000 Geräten ausfindig machen können.
Von Mai bis September 2020 hatte sich diese Malware weltweit verbreitet. Mit einer starken Konzentration auf Europa und Süd- und Südostasien. Und diese Angriffe sind noch nicht vorbei.
Die getarnten Namen der Malware sind unter anderem udiolava.exe, QuickAudio.exe und converter.exe. Oder auch einfach als Erweiterung Chrome Media Router oder Radioplayer. Der Radioplayer wäre zum Beispiel in den Browsern so zu finden:
- Microsoft Edge – %localappdata%\Microsoft\Edge\User Data\Default\Extensions\fcppdfelojakeahklfgkjegnpbgndoch
- Google Chrome – %localappdata%\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm (Kann variieren)
- Mozilla Firefox – %appdata%\Roaming\Mozilla\Firefox\Profiles\<profile>\Extensions{14553439-2741-4e9d-b474-784f336f58c9}
- Yandex Browser – %localappdata%\Yandex\YandexBrowser\User Data\Default\Extensions\fcppdfelojakeahklfgkjegnpbgndoch
Bevor ich hier noch weitere Beispiel reinschreibe, lest euch den Beitrag einmal genau durch. Kann ja durchaus sein, dass ihr auch betroffen seid.
microsoft.com/security/widespread-malware-campaign
Google Chrome – %localappdata%\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm
Ist bei mir drin. Gefährlich??
Könnte sein. Aber wenn Du keinen Dienst namens „Main Service“ hast und unter dem RegPfad
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\ auch nichts mit „tag und „did“ ist, wohl nicht.
Starte die Suche nach „tag“ (natürlich ohne Anführungszeichen) im Regeditor beim oben genannten Pfad und setze dabei nur den Haken bei „Werte“ und „ganze Zeichenfolge vergleichen“.
pkedcjkdefgpdelpbcmbmeomcjbeemfm sieht bei mir okay aus. Aber warum ist der Schlüssel überhaupt drin?
Hab herausgefunden das dieser Schlüssel die Chromecast-Unterstützung ist, welcher deaktiviert werden kann.
siehe hier: https://www.bitblokes.de/chromecast-unterstuetzung-beim-webbrowser-chromium-aktivieren/
Dann ist dier Schlüssel nicht mehr vorhanden und auch unter %localappdata%\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm ist nichts mehr zu finden:
Wenn ich die Chromecast-Unterstützung deaktiviere. Ist man dann vor Adrozek geschützt?
Ich denke nicht. Zudem betrifft es ja auch auch andere Browser, welche nicht mal auf Chromium basieren. Außerdem schreibt Microsoft ja, dass der kryptische Ordnername beim Chrome (pkedcjkdefgpdelpbcmbmeomcjbeemfm) variieren kann.
Der beste Schutz ist immer noch ein Hauch Brain und nicht jeden Krempel installieren.