Google Chrome hamis frissítés
Rintaro Koike kutató egy 2022 novembere óta futó kampány hozott nyilvánosságra, ahol feltört weboldalakat használnak fel a támadók, hogy hamis Google Chrome-frissítéseket küldjenek a potenciális áldozatoknak. A kampány kiterjedt a koreai, spanyol és japán nyelvű felhasználókra.
Az érintett weboldalak között vannak hírek, webshopok és felnőtt tartlamú oldalak is, ezért valószínűsíthető, hogy a támadók elsősorban a sebezhetőség alapján használják ki az oldalakat, nem a tartalom szerint. Ezért nehéz megjósolni, hogy ezek a hamis frissítések hol jelennek meg.
Ha egy weboldalt feltörtek, a megtekintés során egy rosszindulatú JavaScript lefuttat egy szkriptet, ami viszajelez, és ha alkalmas a célpont a támadásra, akkor további szkriptek kerülnek letöltésre, ami azt jelzi a felhasználónak, hogy frissítést kell letöltenie. A potenciális áldozatok a böngészőablakon valósnak látják a felhívást, hogy frissíteniük kell, ha továbbra is böngészni szeretnének.
A frissítés letöltése és telepítése után egy Monero trójai bányász programot kapnak frissítés helyett. A kutatók szerint a rosszindulatú támadás leállítja a Windows Update-et is, és önmagát is kizárja a Windows Defender felügyeletéből , valamint megzavarja a biztonsági termékek kommunikációját szervereikkel. Ezáltal a használt eszköz egyre védtelenebb lesz a kártevőkkel szemben.
Rintaro Koike szerint a támadási kampánynak a hatása egyre szélesebb körben elterjedt és súlyos, mivel sok weboldalt ér el. Mivel fennáll annak a lehetősége, hogy a támadások folytatódnak, fokozott figyelemre hívja fel a figyelmet, egyben megosztotta támadás azonosításához szükséges mutatókat.