Google Chrome è il browser più utilizzato al mondo, quindi è anche uno dei software preferiti dai cybercriminali. Da alcune settimane è in corso una campagna che sfrutta aggiornamenti fasulli di Chrome per distribuire malware. Ciò avviene quando l’utente visita determinati siti. L’obiettivo finale è installare un cryptominer sul computer.

Attenzione agli update fasullo di Chrome

La catena di infezione prevede innanzitutto l’iniezione di script nei siti web. Questi script sono eseguiti quando l’ignara vittima accede al sito. Usando il servizio Pinata IPFS (InterPlanetary File System), che nasconde l’origine dei file, vengono scaricati altri script che attivano la visualizzazione di un messaggio di errore relativo al browser di Google.

L’utente viene ingannato dal messaggio che invita a scaricare e installare la nuova versione di Chrome contenuta in un archivio ZIP. Al suo interno è presente un miner per le criptovalute Monero. Il malware, copiato nella directory C:\Program Files\Google\Chrome come updater.exe , usa la tecnica BYOVD (Bring Your Own Vulnerable Driver) per sfruttare una vulnerabilità del driver legittimo WinRing0x64.sys e ottenere i privilegi SYSTEM.

Il miner viene quindi caricato in memoria, mentre la persistenza viene garantita da un’attività pianificata. Il malware aggiunge se stesso alla lista delle esclusioni di Microsoft Defender (modificando una chiave nel registro), ferma Windows Update e cambia gli indirizzi IP dei server dai quali gli antivirus scaricano gli aggiornamenti.

Al termine di queste operazioni viene avviata la generazione delle monete, sfruttando le risorse hardware del computer. Il malware colpiva inizialmente i siti in lingua giapponese, ma i target sono aumentati con gli ultimi attacchi. Il consiglio è usare esclusivamente la funzionalità di aggiornamento integrata in Chrome.