Chrome güncellemesi, kötü amaçlı kripto madencisi çıktı

Güvenlik araştırmacısı Rintaro Koike‘nin söylediğine bakılırsa PC korsanları, antivirüs tespitinden kaçabilecek fena amaçlı yazılımları yüklemek için tasarlanmış düzmece Chrome güncelleme mesajlarını meşru web sayfalarının üstüne yerleştiriyor.

Koike’nin açıkladığına bakılırsa öncelikli olarak Kasım 2022’de gözlemlenen hücum kampanyası, Şubat 2023’te etken hale geldi ve ağırlıklı olarak Japonca web sitelerinin yanında ayrıca Korece ve İspanyolca dillerine yönelik çeşitli internet sayfalarını hedef aldı. Araştırmacılar, bu saldırıların Japonya bölgesinin ötesine geçerek yayılmaya, ahenk sağlamaya ve gelişmeye devam edebileceğinden korkuyor ve öteki web kullanıcılarını potansiyel tehditlere karşı uyarıyor.

Güvenliği ihlal edilmiş web sitelerinde, hedefleri ortaya çıkarmak için komut dosyaları çalıştıran bir JavaScript kodu yer ediniyor. Pozitif hedefler, “Güncelleme İstisnası” uyarısı veren bir sayfaya yönlendiriliyor. Bu sayfada “Chrome otomatik güncellemesinde bir hata oluştu. Lütfen güncelleme paketini ondan sonra manuel olarak yükleyin ya da bir sonraki otomatik güncellemeyi bekleyin” yazıyor. Bu uyarıda kullanılan dilde rastgele bir aciliyet uyarısının bulunmaması da tehdit aktörlerinin lehine çalışmakta ve daha gerçekçi gözükerek bu fena amaçlı yazılım dolandırıcılığının öteki dolandırıcılıklara kıyasla daha azca dikkat çekmesine muavin olabilmektedir.

Ondan sonra Chrome güncellemesi olarak gizlenen bir .zip dosyası yükleniyor, sadece bu dosya, yasal bir Chrome güncellemesi yerine, kurbanın CPU’sunu kullanarak kripto para madenciliği oluşturmak için tasarlanmış bir Monero madencisi içeriyor.

Araştırmaya bakılırsa, madenci kendisini Windows Defender ayarlarından çıkarıyor, Windows Update hizmetlerini askıya alıyor ve anne PC dosyalarını tekrardan yazarak antivirüs yazılımı şeklinde tehdit idrak etme araçlarını atlatabiliyor. Durma emaresi göstermeyen kodun, ileriye dönük potansiyel olarak mühim bir tehdit oluşturarak 100’den çok dille uyum gösteren olduğu iddia ediliyor.

Akılda tutulması ihtiyaç duyulan, Chrome’un güncellemeleri çoğu zaman yerleşik bir güncelleyici vasıtasıyla yüklediği. Şu demek oluyor ki bir internet adresinden ilave paketler indirmeye gerek yok.