Ciber actores están infectando distintos sitios web con código JavaScript que muestran errores falsos de una supuesta actualización de Google Chrome, la cual descarga archivos maliciosos en los equipos de usuarios desprevenidos, según ciertas temáticas de búsqueda.
Antecedentes
Esta campaña se ha mantenido activa desde noviembre del 2022 en países de habla Japonesa y Coreana, pero recientemente en el mes de febrero se ha detectado un cambio en su accionar enfocando sus actividades en países de habla Hispana y a más de 100 lenguajes diferentes.
Ilustración 1. Lenguajes soportados
Entre las tendencia de los sitios afectados están temáticas para adultos, distintos tipos blogs, sitios de noticias y tiendas en línea, entre otras.
Notificaciones de error falsas
La primera fase del ataque consiste en comprometer distintos sitios web inyectando código JavaScript malicioso que ejecuta scripts cuando un usuario los visita.
Posteriormente estos scripts descargarán otros scripts adicionales en función de si el visitante es parte de sus objetivos. Si el visitante cumple con los requisitos del ciber actor, aparece en su pantalla el siguiente aviso de error falso:
"Se produjo un error en la actualización automática de Chrome. Instale el paquete de actualización manualmente más tarde o espere a la próxima actualización automática"
Ilustración 2. Notificación falsa de error de Google Chrome
Fase de infección
Luego, los scripts descargan automáticamente un archivo ZIP llamado 'release.zip' desde el sitio malicioso “https://chrome-error[.]co”, disfrazado como una actualización de Chrome que el usuario debe instalar.
Ilustración 3. Payload generador por el atacante para descargar archivo malicioso “release[.]zip”
Este archivo ZIP malicioso contiene un minero de la criptomoneda Monero que utilizará los recursos de hardware del dispositivo víctima para obtener capacidad de procesamiento que permita la generación de criptomonedas para los atacantes.
Al ejecutarse el malware se copia a sí mismo en C:\ Program Files\ Google\ Chrome como "updater[.]exe" y luego inicia un ejecutable legítimo para realizar la inyección de procesos y ejecutarlo directamente desde la memoria generando persistencia.
Este malware utiliza la técnica "BYOVD", para explotar una vulnerabilidad en el “WinRing0x64[.]sys” legítimo que permite obtener privilegios de sistema en el dispositivo.
Este minero tiene capacidades de persistencia agregando tareas programadas y realizando modificaciones en el Registro mientras se configura para excluirse de Windows Defender.
También posee una versión propia de Windows Update que interrumpe la comunicación de los productos de seguridad con sus servidores al modificar las direcciones IP de estos en el archivo HOSTS. Esto dificulta las actualizaciones, la detección de amenazas e incluso puede llegar a desactivar el Antivirus (AV) por completo.
Después de haber comprometido el equipo de la víctima, el minero se conecta a xmr.2miners[.]com y comienza a procesar la criptomoneda Monero (XMR).
Expansión de la amenaza
Si bien algunos de los sitios web que han sido comprometidos son Japoneses, la inclusión de idiomas adicionales como de habla Hispana, puede indicar que los actores de amenazas planean expandir su alcance, por lo que el impacto de la campaña puede ser mucho mayor en un corto periodo de tiempo.
Precauciones básicas para el usuario
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
hash | 2afdcf74d9dbc5575de919e8d04... |
hash | 24f60f14ccea5ae2ae320e166b8... |
url | yhdmb[.]xyz |
url | fastjscdn[.]org |
url | xmr.2miners[.]com |
url | chrome-error[.]co |
url | gateway.chrome-error[.]co |
ip | 38[.]147.165.60 |
ip | 103[.]150.180.49 |
ip | 156[.]251.189.56 |
ip | 38[.]147.165.50 |
ip | 162[.]19.139.184 |