Hacked sites caught spreading malware via fake Chrome updates
2023/04/11 BleepingComputer — いくつかの Web サイトを侵害したハッカーたちが、偽の Google Chrome 自動更新エラーを表示するスクリプトを注入し、それに気づかない訪問者にマルウェアを配布している。このキャンペーンは、2022年11月から行われている。NTT の Security Analyst である Rintaro Koike によると、2023年2月以降に活動を加速させ、日本語/韓国語/スペイン語を話すユーザーを対象にターゲット範囲を拡大している。このマルウェア配布キャンペーンにより、アダルトサイト/ブログ/ニュースサイト/オンラインストアなどの、多数のサイトがハッキングされたことを、BleepingComputer は確認している。
偽の Chrome アップデートエラー
この攻撃は、Web サイトを侵害し、ユーザーが訪問したときにスクリプトを実行する、悪意の JavaScript コードを注入することから始まります。これらのスクリプトは、訪問者がターゲット層であるかどうかに基づき、追加のスクリプトをダウンロードする。
これらの悪意のスクリプトは、Pinata IPFS (InterPlanetary File System) サービスを通じて配信され、ファイルをホストするオリジン・サーバを難読化し、ブロック・リストの効果をなくし、テイクダウンに抵抗している。
標的となった訪問者が、それらの Web サイトを閲覧したときに、このスクリプトは偽の Google Chrome エラー画面を表示して、サイトの閲覧を継続するために必要な自動アップデートのインストールに失敗したと主張する。
そのエラー・メッセージは、”An error occurred in Chrome automatic update. Please install the update package manually later, or wait for the next automatic update” という内容である。
そして、このスクリプトは、ユーザーがインストールすべき Chrome のアップデートを装う、”release.zip” という名の ZIP ファイルを自動的にダウンロードする。
しかし、この ZIP ファイルには Monero マイナーが含まれており、デバイスの CPU リソースを利用した脅威アクターのために暗号通貨マイニングが開始される。
このマルウェアが起動すると、自身を “C:\Program Files\Google\Chrome” に “updater.exe” としてコピーし、正規の実行ファイルを起動してプロセス・インジェクションを実行し、メモリからダイレクトに立ち上がる。
VirusTotal によると、このマルウェアは BYOVD (Bring Your Own Vulnerable Driver) という手法を用いて、正規の “WinRing0x64.sys” の脆弱性を突くことで、デバイスの SYSTEM 権限を獲得する。
このマイナーは、Windows Defender から自身を除外しながら、スケジュールされたタスクを追加し、レジストリの変更を実行することで持続的に動作する。さらに、Windows Update を停止し、HOSTS ファイル内のサーバの IP アドレスを変更することで、セキュリティ製品とサーバとの通信を妨害する。 これにより、更新と脅威の検出が妨げられ、AV が完全に無効化されることもあり得る。
これらの手順を経て、マイナーは “xmr.2miners[.]com” に接続し、追跡が困難な暗号通貨 Monero (XMR) のマイニングを開始する。
改ざんされた Web サイトの中には日本語のものもあるが、最近に追加された言語が示すのは、脅威アクターがターゲット範囲の拡大を意図する可能性であり、このキャンペーンの影響が広がる可能性があると、NTT は警告している。
いつもの確認であるが、インストールされているソフトウェアのセキュリティ・アップデートは、決して第三者のサイトでインストールしてはいけない。信頼できるソフトウェアの開発元から、または、プログラムに組み込まれている自動アップデートから、インストールするようにしてほしい。
ある Web サイトにたどり着いたときに、あなたの Chrome はバージョンが古いので、ここでアップデートしてくれというシナリオですが、最近のセキュリティ事情に明るくないユーザーであれば、騙される可能性もあるでしょう。それほど、Chrome のアップデートは頻繁ですし、それだけを認識しているユーザーは、危険な状態に置かれてしまいます。よろしければ、Chrome で検索を、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.