Peretas meretas situs web untuk menginjeksi skrip yang menampilkan kesalahan pembaruan otomatis Google Chrome palsu yang mendistribusikan malware kepada pengunjung yang tidak sadar.
Kampanye ini telah berlangsung sejak November 2022, dan menurut analis keamanan NTT Rintaro Koike, kampanye ini bergeser setelah Februari 2023, memperluas cakupan penargetannya untuk mencakup pengguna yang berbicara bahasa Jepang, Korea, dan Spanyol. BleepingComputer telah menemukan banyak situs yang diretas dalam kampanye distribusi malware ini, termasuk situs dewasa, blog, situs berita, dan toko online.
.
.
Kesalahan pembaruan Chrome palsu
Serangan dimulai dengan mengkompromikan situs web untuk menyuntikkan kode JavaScript berbahaya yang mengeksekusi skrip ketika pengguna mengunjunginya. Skrip ini akan mengunduh skrip tambahan berdasarkan apakah pengunjung adalah audiens yang ditargetkan.
Skrip berbahaya ini dikirimkan melalui layanan Pinata IPFS (InterPlanetary File System), yang mengaburkan server asal yang menghosting file, membuat daftar blokir tidak efektif dan menolak penghapusan. Jika pengunjung yang ditargetkan menjelajahi situs, skrip akan menampilkan layar kesalahan Google Chrome palsu yang menyatakan bahwa pembaruan otomatis yang diperlukan untuk melanjutkan penjelajahan situs gagal dipasang.
"Terjadi kesalahan dalam pembaruan otomatis Chrome. Silakan instal paket pembaruan secara manual nanti, atau tunggu pembaruan otomatis berikutnya," bunyi pesan kesalahan Chrome palsu.
Skrip kemudian akan secara otomatis mengunduh file ZIP yang disebut 'release.zip' yang menyamar sebagai pembaruan Chrome yang harus dipasang pengguna.
Namun, file ZIP ini berisi penambang Monero yang akan memanfaatkan sumber daya CPU perangkat untuk menambang cryptocurrency untuk peretas.
Setelah diluncurkan, malware menyalin dirinya ke C: \ Program Files \ Google \ Chrome sebagai "updater.exe" dan kemudian meluncurkan executable yang sah untuk melakukan injeksi proses dan berjalan langsung dari memori.
.
.
Menurut VirusTotal, malware menggunakan teknik "BYOVD" (bring your own vulnerable driver) untuk mengeksploitasi kerentanan di WinRing0x64 yang sah.sys untuk mendapatkan hak istimewa SISTEM pada perangkat. Penambang tetap ada dengan menambahkan tugas terjadwal dan melakukan modifikasi Registry sambil mengecualikan dirinya dari Windows Defender.
Selain itu, menghentikan Pembaruan Windows dan mengganggu komunikasi produk keamanan dengan server mereka dengan memodifikasi alamat IP yang terakhir dalam berkas HOSTS. Ini menghambat pembaruan dan deteksi ancaman dan bahkan dapat menonaktifkan AV sama sekali.
Setelah semua langkah ini, penambang terhubung ke xmr.2miners[.] com dan mulai menambang cryptocurrency Monero (XMR) yang sulit dilacak.
.
Sementara beberapa situs web yang telah dirusak adalah Jepang, NTT memperingatkan bahwa dimasukkannya bahasa tambahan baru-baru ini dapat mengindikasikan bahwa pelaku ancaman berencana untuk memperluas cakupan penargetan mereka, sehingga dampak kampanye dapat segera menjadi lebih besar. Seperti biasa, jangan pernah menginstal pembaruan keamanan untuk perangkat lunak yang diinstal di situs pihak ketiga, dan hanya menginstalnya dari pengembang perangkat lunak atau melalui pembaruan otomatis yang dibangun ke dalam program.
sumber
gambar
sumber
gambar
