Questo diffuso aggiornamento in realtà è un virus, a cosa devi fare attenzione

Esiste un aggiornamento davvero diffuso che in realtà dietro cela un virus. Bisogna fare molta attenzione: che cosa sta succedendo.

Ad oggi Google Chrome è uno dei browser più utilizzati al mondo. Per questo motivo risulta uno dei software più utilizzati dai cyber-criminali. Da alcune settimane il pericolo principale è l’arrivo di aggiornamenti fasulli che celano al loro interno dei malware. Scopriamo quindi tutti i dettagli dell’ultimo pericolo in rete.

Ancora oggi, nonostante la grande concorrenza, Google Chrome è ancora il browser più utilizzato presente sul mercato. Attenzione però perché proprio per questo motivo gli hacker lo utilizzano per attaccare gli utenti più ignari. Inoltre da alcune settimane si sta diffondendo una campagna che sfrutta aggiornamenti fasulli di Chrome per distribuire malware. L’obiettivo dei cyber-criminali è installare un cryptominer sul computer.

Questa catena di infezione consiste nell’iniezione di script nei siti web. Tutti questi script verranno eseguiti quando la vittima accede al sito. Il sistema utilizzato è il Pinata IPFS (InterPlanetary File System), che nasconde l’origine dei file. Così facendo vengono scaricati altri script che attivano la visualizzazione di un messaggio di errore relativo proprio a Google Chrome. Scopriamo tutti i dettagli riguardanti l’ultimo pericolo sul browser.

Questo aggiornamento cela un virus: fate molta attenzione

Ad ingannare l’utente è un messaggio che recita che invita a scaricare e installare la nuova versione di Chrome, che è contenuto in un file ZIP. Al suo interno però sarà presente un miner per le criptovalute Monero. Questo malware verrà poi copiato nella cartella directory C:\Program Files\Google\Chrome come updater.exe.

Il virus in questione utilizza la tecnica BYOVD (Bring Your Own Vulnerable Driver), tutto ciò permetterà di sfruttare una vulnerabilità del driver legittimo WinRing0x64.sys e ottenere i privilegi SYSTEM. Questo miner successivamente verrà caricato in memoria. La persistenza sarà garantita da un’attività pianificata. Il malware aggiunge se stesso alla lista delle esclusioni di Microsoft Defender.

Inoltre questo fermerà Windows Update e cambia gli indirizzi IP dei server dai quali gli antivirus scaricano gli aggiornamenti. Una volta concluse queste operazioni viene avviata la generazione delle monete, andando quindi a sfruttare l’hardware del computer. Inizialmente questo virus colpiva solamente i siti web giapponesi, ma adesso i target sono aumentati. Ovviamente per evitare ogni pericolo il consiglio è quello di utilizzare solo gli aggiornamenti interni a Chrome, per evitare di cadere in qualsiasi trappola.