Güvenlik araştırmacısı Rintaro Koike‘nin söylediğine nazaran bilgisayar korsanları, antivirüs tespitinden kaçabilecek Kötü emelli yazılımları yüklemek için tasarlanmış sahte Chrome güncelleme iletilerini yasal web sayfalarının üzerine yerleştiriyor.
Koike’nin açıkladığına nazaran birinci olarak Kasım 2022’de gözlemlenen atak kampanyası, Şubat 2023’te faal hale geldi ve yüklü olarak Japonca web sitelerinin yanı Dizi Korece ve İspanyolca lisanlarına yönelik birtakım web sitelerini gaye aldı. Araştırmacılar, bu atakların Japonya bölgesinin ötesine geçerek yayılmaya, Ahenk sağlamaya ve gelişmeye devam edebileceğinden korkuyor ve öbür internet kullanıcılarını potansiyel tehditlere karşı uyarıyor.
Güvenliği ihlal edilmiş web sitelerinde, gayeleri belirlemek için komut evrakları çalıştıran bir JavaScript kodu yer alıyor. Olumlu maksatlar, “Güncelleme İstisnası” uyarısı veren bir sayfaya yönlendiriliyor. Bu sayfada “Chrome otomatik güncellemesinde bir kusur oluştu. Lütfen güncelleme paketini daha sonra manuel olarak yükleyin yahut bir sonraki otomatik güncellemeyi bekleyin” yazıyor. Bu ikazda kullanılan lisanda rastgele bir aciliyet ihtarının bulunmaması da tehdit aktörlerinin lehine çalışıyor ve daha gerçekçi gözükerek bu Kötü maksatlı yazılım dolandırıcılığının diğer dolandırıcılıklara kıyasla daha az dikkat çekmesine Yardımcı oluyor.
Daha sonra Chrome güncellemesi olarak gizlenen bir .zip evrakı yükleniyor, lakin bu evrak, yasal bir Chrome güncellemesi yerine, kurbanın CPU’sunu kullanarak kripto Nakit madenciliği yapmak için tasarlanmış bir Monero madencisi içeriyor.
Araştırmaya nazaran, madenci kendisini Windows Defender ayarlarından çıkarıyor, Windows Update hizmetlerini askıya alıyor ve anne bilgisayar belgelerini yine yazarak antivirüs yazılımı üzere tehdit algılama araçlarını atlatabiliyor. Durma belirtisi göstermeyen kodun, ileriye dönük potansiyel olarak Değerli bir tehdit oluşturarak 100’den Çok lisanla uyumlu olduğu argüman ediliyor.
Akılda tutulması gereken, Chrome’un güncellemeleri ekseriyetle yerleşik bir güncelleyici aracılığıyla yüklediği. Yani bir web sitesinden ek paketler indirmeye gerek yok.
Yorum Yok