Google Chrome është shfletuesi më i përdorur në botë, ndaj është edhe një nga softuerët e preferuar të kriminelëve kibernetikë. Prej disa javësh ka nisur një fushatë që shfrytëzon përditësimet e rreme të Chrome për të shpërndarë malware. Kjo ndodh kur përdoruesi viziton faqe të caktuara. Qëllimi përfundimtar është të instaloni një kriptominer në kompjuterin tuaj.
Kujdes nga përditësimet e rreme të Chrome
Zinxhiri i infeksionit së pari përfshin injektimin e skripteve në faqet e internetit. Këto skripta ekzekutohen kur viktima që nuk dyshon hyn në sit. Duke përdorur shërbimin IPFS (InterPlanetary File System) Pinata, i cili fsheh origjinën e skedarëve, shkarkohen skriptet e tjera që shkaktojnë shfaqjen e një mesazhi gabimi në lidhje me shfletuesin Google.
Përdoruesi mashtrohet nga mesazhi që e fton të shkarkojë dhe instalojë versionin e ri të Chrome që gjendet në një arkiv ZIP. Brenda ka një minator për kriptovalutat Monero. Malware, i kopjuar në drejtorinë C:\Program Files\Google\Chrome si updater.exe, përdor teknikën BYOVD (Bring Your Own Vulnerable Driver) për të shfrytëzuar një dobësi të drejtuesit të ligjshëm WinRing0x64.sys dhe për të fituar privilegje SYSTEM.
Minatori më pas ngarkohet në memorie, ndërsa qëndrueshmëria sigurohet nga një detyrë e planifikuar. Malware shtohet në listën e përjashtimit të Microsoft Defender (duke ndryshuar një çelës në regjistër), ndalon Windows Update dhe ndryshon adresat IP të serverëve nga të cilët antivirusi shkarkon përditësimet.
Në fund të këtyre operacioneve, fillon gjenerimi i monedhave, duke shfrytëzuar burimet harduerike të kompjuterit. Malware fillimisht synonte faqet në gjuhën japoneze, por objektivat janë rritur me sulmet e fundit. Këshilla është të përdorni vetëm veçorinë e përditësimit të integruar në Chrome.
Discussion about this post