Siti compromessi sorpresi a diffondere malware tramite falsi aggiornamenti di Chrome

Vai ai contenuti

Siti compromessi sorpresi a diffondere malware tramite falsi aggiornamenti di Chrome

3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia Concesio
Siti compromessi sorpresi a diffondere malware tramite falsi aggiornamenti di Chrome




Gli hacker stanno compromettendo i siti Web per iniettare script che mostrano falsi errori di aggiornamento automatico di Google Chrome che distribuiscono malware a visitatori ignari.

La campagna è in corso da novembre 2022 e, secondo l'analista di sicurezza di NTT Rintaro Koike, ha cambiato marcia dopo febbraio 2023, ampliando il suo ambito di targeting per coprire gli utenti che parlano giapponese, coreano e spagnolo.

BleepingComputer ha trovato numerosi siti compromessi in questa campagna di distribuzione di malware, inclusi siti per adulti, blog, siti di notizie e negozi online.
Falsi errori di aggiornamento di Chrome

L'attacco inizia compromettendo i siti Web per iniettare codice JavaScript dannoso che esegue script quando un utente li visita. Questi script scaricheranno script aggiuntivi in base al fatto che il visitatore sia il pubblico di destinazione.

Questi script dannosi vengono forniti tramite il servizio Pinata IPFS (InterPlanetary File System), che offusca il server di origine che ospita i file, rendendo inefficace la blocklist e resistendo alle operazioni di rimozione.

Se un visitatore mirato naviga nel sito, gli script visualizzeranno una falsa schermata di errore di Google Chrome che indica che non è stato possibile installare un aggiornamento automatico necessario per continuare a navigare nel sito.

"Si è verificato un errore nell'aggiornamento automatico di Chrome. Installa il pacchetto di aggiornamento manualmente in un secondo momento o attendi il prossimo aggiornamento automatico", si legge nel falso messaggio di errore di Chrome.
Errore falso servito ai visitatori
Falso errore servito ai visitatori (NTT)

Gli script scaricheranno quindi automaticamente un file ZIP chiamato "release.zip" mascherato da aggiornamento di Chrome che l'utente dovrebbe installare.
JavaScript che attiva il drop ZIP
JavaScript che attiva il drop ZIP (NTT)

Tuttavia, questo file ZIP contiene un minatore Monero che utilizzerà le risorse della CPU del dispositivo per estrarre la criptovaluta per gli attori delle minacce.

All'avvio, il malware si copia in C:\Program Files\Google\Chrome come "updater.exe" e quindi avvia un eseguibile legittimo per eseguire l'iniezione di processo ed eseguire direttamente dalla memoria.

Secondo VirusTotal, il malware utilizza la tecnica "BYOVD" (porta il tuo driver vulnerabile) per sfruttare una vulnerabilità nel legittimo WinRing0x64.sys per ottenere privilegi di SISTEMA sul dispositivo.

Il minatore persiste aggiungendo attività pianificate ed eseguendo modifiche al registro mentre si esclude da Windows Defender.

Inoltre, interrompe Windows Update e interrompe la comunicazione dei prodotti di sicurezza con i loro server modificando gli indirizzi IP di questi ultimi nel file HOSTS. Ciò ostacola gli aggiornamenti e il rilevamento delle minacce e può persino disabilitare del tutto un AV.

Dopo tutti questi passaggi, il minatore si connette a xmr.2miners[.]com e inizia a estrarre la criptovaluta difficile da rintracciare Monero (XMR).

Mentre alcuni dei siti web che sono stati deturpati sono giapponesi, NTT avverte che la recente inclusione di lingue aggiuntive potrebbe indicare che gli autori delle minacce intendono espandere il loro ambito di targeting, quindi l'impatto della campagna potrebbe presto diventare maggiore.

Come sempre, non installare mai gli aggiornamenti di sicurezza per il software installato su siti di terze parti e installarli solo dagli sviluppatori del software o tramite aggiornamenti automatici integrati nel programma.



3D.A.
Un Solo Fornitore
3D.A. di Domeneghini Angelo - Via G. Zanardelli, 80/82 - cap. 25062 Concesio (Bs) - Tel +39 030 2008860 -
Fax 030 20 60 925 - P.I: 03307780175
Torna ai contenuti