Malware distribuido a través de actualizaciones falsas de Chrome
Abril 13, 2023
Google Chrome es el navegador más utilizado del mundo, por lo que también es uno de los software favoritos de los ciberdelincuentes. Durante varias semanas ha estado en marcha una campaña que aprovecha las actualizaciones falsas de Chrome para distribuir malware. Esto sucede cuando el usuario visita ciertos sitios. El objetivo final es instalar un criptominero en su computadora.
Cuidado con las actualizaciones falsas de Chrome
La cadena de infección implica primero inyectar scripts en sitios web. Estos scripts se ejecutan cuando la víctima desprevenida inicia sesión en el sitio. Usando el servicio Pinata del Sistema de archivos interplanetario (IPFS), que oculta el origen de los archivos, se descargan secuencias de comandos adicionales que activan un mensaje de error sobre el navegador de Google.
El usuario es engañado por el mensaje que lo invita a descargar e instalar la nueva versión de Chrome contenida en un archivo ZIP. En su interior hay un minero de criptomonedas Monero. El malware, copiado en el directorio C:\Archivos de programa\Google\Chrome como , utiliza la técnica BYOVDupdater.exe (Bring Your Own Vulnerable Driver) para explotar una vulnerabilidad del controlador legítimo y obtener privilegios de SISTEMA. .WinRing0x64.sys
Luego, el minero se carga en la memoria, mientras que la persistencia está asegurada por una tarea programada. El malware se agrega a la lista de exclusión de Microsoft Defender (cambiando una clave en el registro), detiene Windows Update y cambia las direcciones IP de los servidores desde los que el antivirus descarga las actualizaciones.
Al final de estas operaciones, se inicia la generación de monedas, explotando los recursos de hardware de la computadora. Inicialmente, el malware se dirigía a sitios en japonés, pero los objetivos han aumentado con los últimos ataques. El consejo es usar solo la función de actualización integrada en Chrome.
ES 
English - EN 
Français - FR 
