Sahte tarayıcı güncelleme mesajları yıllardır haberlerde yer alıyor. Ancak araştırmacılar, eski kötü amaçlı yazılımın FakeUpdateRU adı verilen ve artık sahte web sitelerinde kullanıcıları kandırmak için kullanılan bir çeşidini keşfettiler.
Bu sahte tarayıcı güncelleme dolandırıcılığı, dolandırıcılar tarafından oluşturulan veya virüs bulaştırılan belirli web sitelerinde gösterilen Google Chrome ile ilgilidir.
Bu FakeUpdate kötü amaçlı yazılımı, kullanıcının sistemlerine uzaktan erişim truva atı yükler ve genellikle fidye yazılımı saldırılarının yolunu açar.
Bir Sucuri blogunda belirtilen FakeUpdateRU çeşidi, sahte Chrome güncellemelerini içeren daha önce bulunan kampanyaları vurguladı.
FakeUpdateRU Chrome Güncellemesini İstiyor
FakeUpdateRU’nun daha yeni versiyonu çok sayıda virüslü web sitesinde bulundu ancak Google tarafından ele alındı.
Google, sahte Chrome güncellemesi kötü amaçlı yazılımını barındıran alanların çoğunu engelledi ve FakeUpdateRU kötü amaçlı yazılımının daha fazla yayılmasını önledi.
FakeUpdateRU kötü amaçlı yazılımıyla ilgili bulgular şunlardır:
- Kötü amaçlı yazılım, temayı web sitesinde görüntülemek için index.php dosyasının üzerine yazar
- Sahte tarayıcı güncelleme dolandırıcılığı WordPress web sitelerinde de çalışıyor
- Kötü amaçlı yazılım, bir web sayfasındaki içeriği daha yeni içerikle değiştirir
- Dolandırıcılar açılış sayfalarını orijinal Google sayfalarına benzeyecek şekilde tasarladılar
- Klonlanan sayfalar, Google’ın web sitesinin Birleşik Krallık İngilizce sürümünden kopyalanarak tasarlanmıştır.
Sahte tarayıcı güncelleme dolandırıcılığının geliştiricileri tarafından oluşturulan statik kaynak dosyalarında Rusça ekler bulunuyordu.
Bulgulara ek olarak Sucuri blogunda şunlar yazıyordu: “Kötü oyuncunun tarayıcısı Rusça yerelleştirmeye sahip olduğundan, bu durum statik kaynak dosyalarının Rusça son eklere sahip olmasıyla sonuçlandı. Örneğin /assets/analytics.js.Без названия, burada “Без названия”, “İsim yok” anlamına gelir.
Bu sahte tarayıcı güncelleme dolandırıcılığı, Firefox ve Safari dahil diğer tarayıcılarda da işe yarayabilir.
Kullanıcıları kandırmak için orijinal Google sayfası içeriği belirli anahtar kelimelerle değiştirildi. Bir örnek kelimenin yerini almaktı İndirmek ile Güncelleme.
Kullanıcı tıkladıktan sonra Güncelleme seçeneği, kötü amaçlı yazılım indirilir.
Bunlar dolandırıcıların meşru görünmek için kullandıkları gerçek görünümlü alan adlarıydı.
- krom motoru[.]uzay
- krom txt[.]uzay
- baz krom[.]uzay
- yerleştirme motoru[.]alan
- tarayıcı motoru[.]çevrimiçi
Alan adları yakın zamanda, son iki hafta içinde kaydedildi.
Kullanıcıları Kopyalamaya Devam Etmek İçin Google Engelini Atlamak
Her ne kadar Google kötü amaçlı alan adlarını engellese de, kötü amaçlı yazılımın geliştiriciler tarafından üzerinde yeniden çalışıldığı tespit edildi.
Araştırmacılar, kötü amaçlı yazılımın, erişim sahibi oldukları diğer aktif web sitelerindeki doğrudan indirme işlemine doğrudan bağlantı vererek Google tarafından gerçekleştirilen eylemleri atlattığını ekledi.
Ancak bu, Google uyarısını gizler ve dolandırıcılar için tek tek web sitelerine virüs bulaştırmayı bir zorunluluk haline getirir. FakeUpdateRU kötü amaçlı yazılımının daha yeni sürümlerinde, sahte güncelleme sayfalarının HTML kodundaki Rusça yorumların çoğu da kaldırılmıştır.
SocGhoslish Kötü Amaçlı Yazılım ve Hileli Tarayıcı Güncelleme Dolandırıcılıklarının Arka Planı
Sahte tarayıcı güncelleme dolandırıcılığı, kullanıcılara Chrome’un eski bir sürümünü kullandıklarına dair bir mesaj gösterilmesini içeriyor. Ancak kötü amaçlı yazılım diğer tarayıcılar için de değiştirilmiş mesajlar gösterebilir. 2017’den beri kullanılmaktadır ve şüpheli web siteleri aracılığıyla dağıtılmaktadır.
Daha önce bulunan kötü amaçlı yazılıma 2022’de FakeUpdates veya SocGhoslish adı verildi. Kullanıcılar, bir tarayıcı güncellemesi olarak kamufle edilmiş kötü amaçlı yazılımı yüklemeleri için onları kandıracak bir sayfadan virüslü web sitelerine yönlendiriliyordu.
FakeUpdate veya SocGhoslish kötü amaçlı yazılımı, 2021’de 61.000’den fazla web sayfasında ve ertesi yıl Ağustos ayına kadar 25.000’den fazla web sayfasında bulundu.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Siber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.