Hakerom udało się włamać na strony internetowe, aby wysyłać fałszywe komunikaty o błędach aktualizacji Google Chrome do niczego niepodejrzewających gości, rozpowszechniając w ten sposób złośliwe oprogramowanie. Kampania trwa od listopada 2022 r. i według analityka bezpieczeństwa NTT, Rintaro Koike, nabrała rozpędu w lutym 2023 r., atakując użytkowników mówiących po japońsku, koreańsku i hiszpańsku.



Atak z zainfekowanych stron internetowych

Atak rozpoczyna się od ataku hakerów na strony internetowe w celu wstrzyknięcia złośliwego kodu JavaScript, który uruchamia skrypty, gdy użytkownik je odwiedza. Skrypty te pobiorą dodatkowe skrypty w zależności od tego, czy odwiedzający jest grupą docelową.

Złośliwe skrypty są dostarczane za pośrednictwem usługi Pinata IPFS (InterPlanetary File System), która zaciemnia serwer źródłowy hostujący pliki, czyniąc taktykę blokowania nieskuteczną i utrudniając środki zaradcze.

Nieprawidłowy komunikat o błędzie aktualizacji przeglądarki Google Chrome

Gdy wybrana ofiara odwiedza witrynę, skrypty wyświetlają fałszywą wiadomość o błędzie Google Chrome z informacją, że do dalszego przeglądania witryny wymagana jest automatyczna aktualizacja. Jednak podobno aktualizacja się nie powiodła.

„Wystąpił błąd podczas automatycznej aktualizacji Chrome. Zainstaluj ręcznie pakiet aktualizacji później lub poczekaj na następną automatyczną aktualizację” – czytamy w fałszywym komunikacie o błędzie Chrome.

Złośliwe oprogramowanie w rzekomej aktualizacji Chrome

Następnie skrypty automatycznie pobiorą plik ZIP o nazwie „release.zip” udający aktualizację Chrome, którą użytkownik może zainstalować.

Jednak ten plik ZIP zawiera koparkę Monero, która wykorzystuje zasoby procesora urządzenia do wydobywania kryptowaluty dla atakujących.

Po uruchomieniu malware kopiuje się do folderu C:\Program Files\Google\Chrome jako "updater.exe", a następnie uruchamia legalną aplikację w celu wstrzyknięcia procesu i uruchomienia bezpośrednio z pamięci.

Według VirusTotal, złośliwe oprogramowanie wykorzystuje technikę „BYOVD” (przynieś swój własny wrażliwy sterownik), aby wykorzystać lukę w legalnym pliku WinRing0x64.sys i uzyskać uprawnienia SYSTEMOWE na urządzeniu.

Górnik zatrzymuje się, dodając zaplanowane zadania i wprowadzając zmiany w rejestrze, jednocześnie wykluczając się z programu Windows Defender. Ponadto blokuje aktualizacje systemu Windows i zakłóca komunikację produktów zabezpieczających z ich serwerami, zmieniając ich adresy IP w pliku HOSTS. To komplikuje aktualizacje i wykrywanie zagrożeń, a nawet może całkowicie wyłączyć AV.

Chociaż niektóre z dotkniętych witryn internetowych są japońskie, NTT ostrzega, że ​​niedawne dodanie dodatkowych języków może wskazywać, że atakujący planują rozszerzyć zasięg ataków, więc wpływ kampanii może wkrótce być większy.

Jak zawsze, aktualizacje zabezpieczeń dla zainstalowanego oprogramowania nigdy nie powinny być instalowane z witryn stron trzecich, tylko przez twórcę oprogramowania lub za pośrednictwem automatycznych aktualizacji wbudowanych w program.