Les pirates compromettent les sites Web pour injecter des scripts qui affichent de fausses erreurs de mise à jour automatique de Google Chrome qui distribuent des logiciels malveillants aux visiteurs inconscients.

La campagne est en cours depuis novembre 2022 et, selon l’analyste en sécurité de NTT, Rintaro Koike, elle est passée à la vitesse supérieure après février 2023, élargissant sa portée de ciblage pour couvrir les utilisateurs qui parlent japonais, coréen et espagnol.

Breachtrace a trouvé de nombreux sites piratés dans cette campagne de distribution de logiciels malveillants, y compris des sites pour adultes, des blogs, des sites d’actualités et des magasins en ligne.

Fausses erreurs de mise à jour de Chrome
L’attaque commence par compromettre les sites Web pour injecter du code JavaScript malveillant qui exécute des scripts lorsqu’un utilisateur les visite. Ces scripts téléchargeront des scripts supplémentaires selon que le visiteur est ou non le public ciblé.

Ces scripts malveillants sont livrés via le service Pinata IPFS (InterPlanetary File System), qui obscurcit le serveur d’origine hébergeant les fichiers, rendant la liste de blocage inefficace et résistant aux retraits.

Si un visiteur ciblé navigue sur le site, les scripts afficheront un faux écran d’erreur Google Chrome indiquant qu’une mise à jour automatique nécessaire pour continuer à naviguer sur le site n’a pas pu être installée.

« Une erreur s’est produite dans la mise à jour automatique de Chrome. Veuillez installer le package de mise à jour manuellement plus tard, ou attendez la prochaine mise à jour automatique », lit le faux message d’erreur de Chrome.

Les scripts téléchargeront alors automatiquement un fichier ZIP appelé « release.zip » qui est déguisé en une mise à jour Chrome que l’utilisateur doit installer.

Cependant, ce fichier ZIP contient un mineur Monero qui utilisera les ressources CPU de l’appareil pour extraire la crypto-monnaie pour les acteurs de la menace.

Au lancement, le logiciel malveillant se copie dans C:\Program Files\Google\Chrome sous le nom de « updater.exe », puis lance un exécutable légitime pour effectuer l’injection de processus et s’exécuter directement à partir de la mémoire.

Selon VirusTotal, le logiciel malveillant utilise la technique « BYOVD » (apportez votre propre pilote vulnérable) pour exploiter une vulnérabilité dans le WinRing0x64.sys légitime afin d’obtenir les privilèges SYSTEM sur l’appareil.

Le mineur persiste en ajoutant des tâches planifiées et en effectuant des modifications du Registre tout en s’excluant de Windows Defender.

De plus, il stoppe Windows Update et perturbe la communication des produits de sécurité avec leurs serveurs en modifiant les adresses IP de ces derniers dans le fichier HOSTS. Cela entrave les mises à jour et la détection des menaces et peut même désactiver complètement un antivirus.

Après toutes ces étapes, le mineur se connecte à xmr.2miners[.]com et commence à exploiter la crypto-monnaie difficile à tracer Monero (XMR).

Alors que certains des sites Web qui ont été dégradés sont japonais, NTT avertit que l’inclusion récente de langues supplémentaires peut indiquer que les acteurs de la menace prévoient d’étendre leur portée de ciblage, de sorte que l’impact de la campagne pourrait bientôt devenir plus important.

Comme toujours, n’installez jamais de mises à jour de sécurité pour les logiciels installés sur des sites tiers et installez-les uniquement par les développeurs du logiciel ou via des mises à jour automatiques intégrées au programme.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *