Chrome güncellemesi üzere görünüyor, PC’nizi kripto madencisine çeviriyor
Güvenlik araştırmacısı Rintaro Koike‘nin söylediğine nazaran bilgisayar korsanları, antivirüs tespitinden kaçabilecek makûs hedefli yazılımları yüklemek için tasarlanmış sahte Chrome güncelleme bildirilerini yasal web sayfalarının üzerine yerleştiriyor.
Koike’nin açıkladığına nazaran birinci olarak Kasım 2022’de gözlemlenen taarruz kampanyası, Şubat 2023’te etkin hale geldi ve yüklü olarak Japonca web sitelerinin yanı sıra Korece ve İspanyolca lisanlarına yönelik kimi web sitelerini gaye aldı. Araştırmacılar, bu atakların Japonya bölgesinin ötesine geçerek yayılmaya, ahenk sağlamaya ve gelişmeye devam edebileceğinden korkuyor ve öteki internet kullanıcılarını potansiyel tehditlere karşı uyarıyor.
Güvenliği ihlal edilmiş web sitelerinde, maksatları belirlemek için komut evrakları çalıştıran bir JavaScript kodu yer alıyor. Olumlu gayeler, “Güncelleme İstisnası” uyarısı veren bir sayfaya yönlendiriliyor. Bu sayfada “Chrome otomatik güncellemesinde bir yanılgı oluştu. Lütfen güncelleme paketini daha sonra manuel olarak yükleyin yahut bir sonraki otomatik güncellemeyi bekleyin” yazıyor. Bu ikazda kullanılan lisanda rastgele bir aciliyet ikazının bulunmaması da tehdit aktörlerinin lehine çalışıyor ve daha gerçekçi gözükerek bu berbat gayeli yazılım dolandırıcılığının öteki dolandırıcılıklara kıyasla daha az dikkat çekmesine yardımcı oluyor.
Daha sonra Chrome güncellemesi olarak gizlenen bir .zip belgesi yükleniyor, lakin bu evrak, yasal bir Chrome güncellemesi yerine, kurbanın CPU’sunu kullanarak kripto para madenciliği yapmak için tasarlanmış bir Monero madencisi içeriyor.
Araştırmaya nazaran, madenci kendisini Windows Defender ayarlarından çıkarıyor, Windows Update hizmetlerini askıya alıyor ve ana bilgisayar evraklarını yine yazarak antivirüs yazılımı üzere tehdit algılama araçlarını atlatabiliyor. Durma belirtisi göstermeyen kodun, ileriye dönük potansiyel olarak değerli bir tehdit oluşturarak 100’den fazla lisanla uyumlu olduğu sav ediliyor.
Akılda tutulması gereken, Chrome’un güncellemeleri çoklukla yerleşik bir güncelleyici aracılığıyla yüklediği. Yani bir web sitesinden ek paketler indirmeye gerek yok.