Chrome güncellemesi üzere görünüyor, PC’nizi kripto madencisine çeviriyor

Güvenlik araştırmacısı Rintaro Koike‘nin söylediğine nazaran bilgisayar korsanları, antivirüs tespitinden kaçabilecek makus hedefli yazılımları yüklemek için tasarlanmış sahte Chrome güncelleme bildirilerini legal web sayfalarının üzerine yerleştiriyor.

Koike’nin açıkladığına nazaran birinci olarak Kasım 2022’de gözlemlenen atak kampanyası, Şubat 2023’te etkin hale geldi ve yüklü olarak Japonca web sitelerinin yanı sıra Korece ve İspanyolca lisanlarına yönelik birtakım web sitelerini maksat aldı. Araştırmacılar, bu akınların Japonya bölgesinin ötesine geçerek yayılmaya, ahenk sağlamaya ve gelişmeye devam edebileceğinden korkuyor ve başka internet kullanıcılarını potansiyel tehditlere karşı uyarıyor.

Güvenliği ihlal edilmiş web sitelerinde, maksatları belirlemek için komut belgeleri çalıştıran bir JavaScript kodu yer alıyor. Olumlu maksatlar, “Güncelleme İstisnası” uyarısı veren bir sayfaya yönlendiriliyor. Bu sayfada “Chrome otomatik güncellemesinde bir yanılgı oluştu. Lütfen güncelleme paketini daha sonra manuel olarak yükleyin yahut bir sonraki otomatik güncellemeyi bekleyin” yazıyor. Bu ikazda kullanılan lisanda rastgele bir aciliyet ikazının bulunmaması da tehdit aktörlerinin lehine çalışıyor ve daha gerçekçi gözükerek bu berbat emelli yazılım dolandırıcılığının öbür dolandırıcılıklara kıyasla daha az dikkat çekmesine yardımcı oluyor.

Daha sonra Chrome güncellemesi olarak gizlenen bir .zip belgesi yükleniyor, fakat bu belge, yasal bir Chrome güncellemesi yerine, kurbanın CPU’sunu kullanarak kripto para madenciliği yapmak için tasarlanmış bir Monero madencisi içeriyor.

Araştırmaya nazaran, madenci kendisini Windows Defender ayarlarından çıkarıyor, Windows Update hizmetlerini askıya alıyor ve ana bilgisayar evraklarını yine yazarak antivirüs yazılımı üzere tehdit algılama araçlarını atlatabiliyor. Durma belirtisi göstermeyen kodun, ileriye dönük potansiyel olarak değerli bir tehdit oluşturarak 100’den fazla lisanla uyumlu olduğu tez ediliyor.

Akılda tutulması gereken, Chrome’un güncellemeleri çoklukla yerleşik bir güncelleyici aracılığıyla yüklediği. Yani bir web sitesinden ek paketler indirmeye gerek yok.