Hackers estão comprometendo sites para injetar scripts que exibem falsos erros de atualização automática do Google Chrome que distribuem malware para visitantes desavisados.
A campanha está em andamento desde novembro de 2022 e, segundo o analista de segurança da NTT, Rintaro Koike, ela acelerou após fevereiro de 2023, expandindo seu escopo de ataque para usuários que falam japonês, coreano e espanhol.
O BleepingComputer encontrou vários sites hackeados nesta campanha de distribuição de malware, incluindo sites adultos, blogs, sites de notícias e lojas online.
O ataque começa comprometendo sites para injetar código JavaScript malicioso que executa scripts quando um usuário os visita.
Esses scripts baixarão scripts adicionais com base se o visitante é o público-alvo.
Esses scripts maliciosos são entregues por meio do serviço Pinata IPFS (InterPlanetary File System), que obfusca o servidor de origem que hospeda os arquivos, tornando a lista de bloqueio ineficaz e resistindo aos desligamentos.
Se um visitante direcionado navegar pelo site, os scripts exibirão uma tela falsa de erro do Google Chrome informando que uma atualização automática é necessária para continuar navegando no site, mas que falhou ao instalar.
"A atualização automática do Chrome falhou. Instale o pacote de atualização manualmente mais tarde ou aguarde a próxima atualização automática", diz a mensagem falsa de erro do Chrome.
Os scripts, em seguida, baixarão automaticamente um arquivo ZIP chamado 'release.zip' que está disfarçado como uma atualização do Chrome que o usuário deve instalar.
No entanto, este arquivo ZIP contém um minerador de Monero que utilizará os recursos da CPU do dispositivo para minerar criptomoedas para os atores da ameaça.
Ao ser iniciado, o malware copia-se para C:\Program Files\Google\Chrome como "updater.exe" e, em seguida, lança um executável legítimo para realizar a injeção de processo e executar diretamente da memória.
De acordo com o VirusTotal, o malware usa a técnica "BYOVD" (traga seu próprio driver vulnerável) para explorar uma vulnerabilidade no legítimo WinRing0x64.sys para ganhar privilégios de sistema no dispositivo.
O minerador persiste adicionando tarefas agendadas e realizando modificações no registro, excluindo-se do Windows Defender.
Além disso, ele interrompe as atualizações do Windows e perturba a comunicação dos produtos de segurança com seus servidores modificando os endereços IP destes no arquivo HOSTS.
Isso dificulta as atualizações e a detecção de ameaças e pode até mesmo desativar um AV completamente.
Após todas essas etapas, o minerador conecta-se a xmr.2miners[.]com e começa a minerar a criptomoeda Monero (XMR), que é difícil de rastrear.
Embora alguns dos sites que foram desfigurados sejam japoneses, a NTT alerta que a recente inclusão de idiomas adicionais pode indicar que os atores da ameaça planejam expandir seu escopo de ataque, por isso o impacto da campanha pode se tornar maior em breve.
Como sempre, nunca instale atualizações de segurança para software instalado em sites de terceiros, e instale apenas a partir dos desenvolvedores do software ou por meio de atualizações automáticas incorporadas ao programa.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...