Selon le chercheur en sécurité Rintaro Koike (ouvre dans un nouvel onglet), les pirates ont bloqué des pages Web légitimes avec de faux messages de mise à jour Chrome conçus pour installer des logiciels malveillants qui peuvent échapper à la détection antivirus, et pire encore.
Koike, qui a été initialement observé à partir de novembre 2022, explique que la campagne d'attaque a été activée en février 2023 et visait principalement des sites Web japonais, ainsi que certains ciblant des sites en coréen et en espagnol.
Après avoir dépassé sa localisation japonaise, les chercheurs soupçonnent qu'il pourrait continuer à se propager, s'adapter et évoluer, avertissant les autres utilisateurs d'Internet des menaces potentielles.
Faux malware de mise à jour de Google Chrome
Les sites Web compromis contiennent du code JavaScript qui exécute des scripts pour déterminer des cibles. Les résultats positifs conduisent à une page d'avertissement concernant une « exception de mise à jour ». Ça se lit:
"Une erreur s'est produite dans la mise à jour automatique de Chrome. Veuillez installer le package de mise à jour manuellement plus tard ou attendre la prochaine mise à jour automatique.
Le manque d'urgence joue en fait en faveur des acteurs de la menace, aidant l'escroquerie de logiciels malveillants à se démarquer moins que les autres escroqueries.
Un fichier .zip déguisé en mise à jour Chrome est ensuite installé, mais au lieu d'une mise à jour Chrome légitime, le fichier contient un mineur Monero conçu pour exploiter la crypto-monnaie aux dépens du processeur de la victime.
Selon les recherches, le mineur s'exclut des paramètres de Windows Defender, suspend les services Windows Update et réécrit les fichiers hôtes pour compromettre les outils de détection des menaces tels que les logiciels antivirus, l'aidant à rester inaperçu. .
Ne montrant aucun signe d'arrêt, le code est censé prendre en charge plus de 100 langues, ce qui représente une menace potentiellement importante pour l'avenir.
Parallèlement à la suppression appropriée des logiciels malveillants, il est conseillé aux internautes de ne pas télécharger de logiciels à partir de fenêtres contextuelles ; ils devraient plutôt revisiter la page directement à partir du site Web de l'entreprise légitime.
Il convient également de noter que Chrome gère généralement les mises à jour via un programme de mise à jour intégré et que vous n'avez pas besoin de télécharger des packages supplémentaires à partir d'un site Web.