bip de l’ordinateur a mis en garde cette semaine contre les sites Web compromis « affichant de fausses erreurs de mise à jour automatique de Google Chrome qui distribuent des logiciels malveillants aux visiteurs sans méfiance ».
La campagne est en cours depuis novembre 2022 et, selon l’analyste de sécurité NTT Rintaro Koike, elle a changé de vitesse après février 2023, élargissant sa portée de ciblage pour couvrir les utilisateurs japonais, coréens et hispanophones. BleepingÉquipe a trouvé de nombreux sites piratés dans cette campagne de distribution de logiciels malveillants, y compris des sites pour adultes, des blogs, des sites d’actualités et des boutiques en ligne…
Si un visiteur spécifique navigue sur le site, les scripts afficheront un faux écran d’erreur Google Chrome indiquant qu’une mise à jour automatique n’a pas pu être installée, ce qui est nécessaire pour continuer à naviguer sur le site. « Échec de la mise à jour automatique de Chrome. Veuillez installer le package de mise à jour manuellement ultérieurement ou attendre la prochaine mise à jour automatique », indique le faux message d’erreur de Chrome. Les scripts téléchargeront alors automatiquement un fichier ZIP appelé « release.zip » qui est déguisé en une mise à jour Chrome que l’utilisateur doit installer.
Cependant, ce fichier ZIP contient un mineur Monero qui utilisera les ressources CPU de l’appareil pour extraire la crypto-monnaie pour les attaquants. Au démarrage, le logiciel malveillant se copie dans C:\Program Files\Google\Chrome en tant que « updater.exe », puis lance un exécutable légitime pour effectuer l’injection de processus et l’exécuter directement à partir de la mémoire. Selon VirusTotal, le logiciel malveillant utilise la technique « BYOVD » (apportez votre propre pilote vulnérable) pour exploiter une vulnérabilité dans le WinRing0x64.sys légitime afin d’obtenir les privilèges SYSTEM sur l’appareil.
Le mineur persiste en ajoutant des tâches planifiées et en apportant des modifications au registre pendant qu’il est exclu de Windows Defender. De plus, il stoppe Windows Update et interrompt la communication des produits de sécurité avec ses serveurs en modifiant les adresses IP de ces derniers dans le fichier HOSTS. Cela rend les mises à jour et la détection des menaces difficiles et peut même désactiver complètement un antivirus.