Οι εγκληματίες του κυβερνοχώρου διεισδύουν σε sites για να ενσωματώσουν κακόβουλα σενάρια που δημιουργούν ψευδείς ειδοποιήσεις ενημέρωσης του Google Chrome, εκθέτοντας τελικά ανυποψίαστους επισκέπτες ιστότοπων με κακόβουλο λογισμικό.
Δείτε επίσης: Καμπάνια Balada Injector malware: Έχει μολύνει 1 εκατομμύριο ιστότοπους WordPress
Η επίθεση ξεκίνησε τον Νοέμβριο του 2022, σύμφωνα με τον αναλυτή ασφαλείας της NTT, Rintaro Koike και κλιμακώθηκε λίγο αργότερα στο τέλος του Φεβρουαρίου του 2023. Τώρα στοχεύει ιαπωνικούς, κορεατόφωνους και ισπανόφωνους χρήστες – ένα διευρυμένο πεδίο εφαρμογής που έχει ως αποτέλεσμα μια ανησυχητική αύξηση της δραστηριότητας.
Για να ξεκινήσει η επίθεση, κακόβουλος κώδικας JavaScript εισάγεται σε sites για να εκτελέσει σενάρια μόλις ο χρήστης τα επισκεφθεί. Εάν ο επισκέπτης ανήκει στο κοινό-στόχο, αυτά τα σενάρια θα κατεβάσουν αυτόματα πρόσθετο σχετικό περιεχόμενο.
Τα κακόβουλα σενάρια διαδίδονται μέσω της υπηρεσίας Pinata IPFS (InterPlanetary File System), καθιστώντας μάταιη τη δημιουργία λίστας αποκλεισμού και ματαιώνοντας τις προσπάθειες κατάργησης, αποκρύπτοντας τον διακομιστή προέλευσης που φιλοξενεί αυτά τα αρχεία. Όταν ένας χρήστες επισκέπτεται το site, τα σενάρια προσομοιώνουν μια οθόνη σφάλματος στο Google Chrome, η οποία δηλώνει ότι απαιτείται μια αναγκαστική ενημέρωση για να προχωρήσει περαιτέρω.
“Παρουσιάστηκε σφάλμα στην αυτόματη ενημέρωση του Chrome. Εγκαταστήστε το πακέτο ενημέρωσης με μη αυτόματο τρόπο αργότερα ή περιμένετε για την επόμενη αυτόματη ενημέρωση“, αναφέρει το ψεύτικο μήνυμα σφάλματος του Chrome.
Τα κακόβουλα σενάρια θα κατεβάσουν στη συνέχεια κρυφά ένα αρχείο ZIP με τίτλο “release.zip“, παρουσιάζοντάς το ως κάτι που ο χρήστης πρέπει να εγκαταστήσει – για παράδειγμα, μια ενημέρωση για το Chrome.
Δείτε ακόμα: Νέο Rilide malware στοχεύει browsers που βασίζονται σε Chromium για την κλοπή cryptocurrency
Ωστόσο, αυτό το αρχείο ZIP περιέχει ένα εξορυκτικό πρόγραμμα Monero που θα εκμεταλλευτεί την CPU της συσκευής για να παράγει κρυπτονόμισμα για τους κακόβουλους φορείς.
Κατά την εκκίνηση, το κακόβουλο λογισμικό αντιγράφει τον εαυτό του στο C:\Program Files\Google\Chrome ως “updater.exe” και στη συνέχεια εκτελεί ένα νόμιμο πρόγραμμα προκειμένου να εισάγει κώδικα σε διεργασίες και να αρχικοποιήσει κατευθείαν από τη μνήμη.
Σύμφωνα με την ανάλυση του VirusTotal, το κακόβουλο λογισμικό αξιοποιεί το BYOVD (“Bring Your Own Vulnerable Driver”) για να εκμεταλλευτεί ένα ελάττωμα στο WinRing0x64.sys και να αποκτήσει προνόμια SYSTEM στη συσκευή σας.
Προγραμματίζοντας εργασίες για τον εαυτό του και πραγματοποιώντας αλλαγές στο μητρώο, ο εξορικτής παρακάμπτει το Windows Defender για να παραμείνει επίμονος.
Επιπλέον, το Windows Update μπορεί να μπλοκαριστεί και η επικοινωνία των προϊόντων ασφαλείας με τους διακομιστές τους παρεμποδίζεται με την αλλαγή των διευθύνσεων IP αυτών των πηγών στο αρχείο HOSTS. Αυτό μπορεί να εμποδίσει τις ενημερώσεις και την παρακολούθηση των απειλών ασφαλείας, ενδεχομένως ακόμη και να απενεργοποιήσει εντελώς ένα σύστημα προστασίας από ιούς.
Αφού ο εξορύκτης ολοκληρώσει όλα αυτά τα βήματα, μπορεί στη συνέχεια να συνδεθεί στο xmr.2miners[.]com και να ξεκινήσει την εξόρυξη του Monero (XMR), ενός κρυπτονομίσματος με ιδιαίτερα υψηλό επίπεδο προστασίας της ανωνυμίας.
Καθώς ορισμένα από τα παραποιημένα sites είναι ιαπωνικά, η NTT προειδοποίησε τους χρήστες να γνωρίζουν ότι στο πεδίο εφαρμογής των απειλών περιλαμβάνονται πλέον και άλλες γλώσσες. Ως αποτέλεσμα, αυτή η εκστρατεία μπορεί σύντομα να γίνει πιο διαδεδομένη και επιζήμια, εάν δεν σταματήσει γρήγορα.
Δείτε επίσης: CryptoClippy: Νέο Clipper malware στοχεύει Πορτογάλους crypto χρήστες
Για να διασφαλίσετε τη μέγιστη δυνατή ασφάλεια, μην εγκαθιστάτε ποτέ ενημερώσεις λογισμικού από sites τρίτων- να βασίζεστε πάντα στον προγραμματιστή για τέτοιες ενημερώσεις ή να χρησιμοποιείτε την αυτοματοποιημένη λειτουργία ενημέρωσης που είναι ενσωματωμένη στο πρόγραμμά σας.
