Kötü Amaçlı Yazılım Yükleyen Sahte Google Chrome Güncellemesine Dikkat Edin

Siber güvenlik sürekli değişiyor ve yeni zorluklarla karşı karşıya kalıyor. Bunlardan biri, birkaç yıldır ortalıkta dolaşan ve hala aktif olan sahte Chrome güncelleme kötü amaçlı yazılımıdır.

Bu kötü amaçlı yazılım, orijinal bir Chrome tarayıcı güncellemesi gibi görünse de, bilgisayarınızı ele geçirebilecek bir uzaktan erişim truva atıdır (RAT).

Bu genellikle bir fidye yazılımı saldırısının ilk adımıdır ve size çok fazla para ve veriye mal olabilir. Güvenlik uzmanları, bu kötü amaçlı yazılımın MalwareBytes’tan Jerome Segura tarafından “FakeUpdateRU” adı verilen yeni bir sürümünü fark etti.

Bu, eski SocGholish kötü amaçlı yazılımıyla aynı değil, farklı bir bilgisayar korsanı grubu tarafından yapılmış yeni bir kötü amaçlı yazılımdır. Fidye yazılımına olan yüksek talepten yararlanmaya çalışıyorlar.

Son zamanlarda onlar gibi birçok grup daha ortaya çıktı. Google hızlı davrandı ve bu kötü amaçlı yazılımı yayan web sitelerinin çoğunu engelledi.

Ziyaret etmeye çalışırsanız Google’dan bir uyarı sayfası göreceksiniz. Kötü amaçlı yazılım ana dizini değiştiriyor[.]Web sitelerinin temalarının php dosyası.

Sahte Chrome Güncelleme Sayfası

Sahte Chrome güncelleme sayfası gerçeğine çok benziyor. Göze çarpan şeylerden biri, kötü amaçlı yazılım dosyalarının Google web sitesinin İngiltere İngilizcesi sürümünden alınan düz HTML kodundan yapılmış olmasıdır.

Bu, bilgisayar korsanlarının kötü amaçlı yazılımı oluşturmak için Chrome (Chromium tabanlı) bir tarayıcı kullandığını gösteriyor. Ancak bu aynı zamanda Chrome kullanmayan kullanıcılar için bile dosyalarda bazı Rusça kelimelerin görünmesine neden oluyor.

Bilgisayar korsanları, kullanıcıları tarayıcılarını güncellemeleri gerektiğini düşünmeleri için kandırmak amacıyla sahte güncelleme sayfasındaki “İndir” gibi bazı kelimeleri “Güncelleme” olarak değiştirdi.

Asıl tehlike, sayfanın alt kısmında yer alan ve kullanıcılar “Güncelle” düğmesine tıkladığında kötü amaçlı yazılım indirmeyi başlatan JavaScript kodundadır.

Bu kod, genellikle saldırıya uğramış başka bir web sitesindeki nihai indirme URL’sini almak için Chrome temalı bir alan adı kullanır.

Kötü amaçlı yazılım, fidye yazılımı saldırılarıyla bilinen Zgrat ve Redline Stealer kötü amaçlı yazılım ailelerine aittir.

Sahte güncelleme sayfaları ve kötü amaçlı yazılım dosyaları, saldırıya uğramış farklı web sitelerindedir.

Bilgisayar korsanları, kullanıcıları kötü amaçlı yazılım .ZIP dosyasına göndermek için benzer adlara sahip birçok alan adı kullanıyor ve bunları sıklıkla kaydediyor.

Bu kampanyanın ne kadar büyük olduğunu gösteren özel bir Google Etiket Yöneticisi komut dosyası arayarak hangi web sitelerinin virüs bulaştığını anlayabilirsiniz.

Google, kullanıcıları yönlendiren alan adlarını engelleme konusunda hızlı davrandı, bu nedenle bilgisayar korsanları yöntemlerini değiştirdi ve artık saldırıya uğramış diğer web sitelerindeki indirmelere doğrudan bağlantı veriyor.

Bu, sunucularındaki bir dosyayı değiştirmek yerine tüm bu web sitelerine yeniden virüs bulaştırmaları gerektiği anlamına geliyor.

Kötü amaçlı yazılımın bazı yeni sürümleri, sahte güncelleme sayfalarındaki Rusça kelimelerin çoğunu kaldırdı, bu da bilgisayar korsanlarının taktiklerini değiştirdiği anlamına geliyor.

Endişe verici olan şey, virüs bulaşmış bazı web sitelerinin geçici bir Telegram kanalıyla konuşan JavaScript koduna sahip olmasıdır.

“Bilgisayar korsanları muhtemelen birisi kötü amaçlı yazılımını indirdiğinde bildirim almak için bunu kullanıyor. Sucuri raporunda, Telegram’ın şifrelemesi ve diğer özellikleri onu bilgisayar korsanları için iyi bir araç haline getiriyor.

Uzmanlar, bu sahte Chrome güncelleme kötü amaçlı yazılımlarından kaçınmak için eklentilerin ve temaların güncellenmesini, WordPress web sitelerinin daha güvenli ve güçlü hale getirilmesini ve verilerin düzenli olarak yedeklenmesini öneriyor.

Güvenlik duvarı kullanmak da enfeksiyonları durdurabilir. Bir web sitesine virüs bulaşmış olabilirse hızlı hareket etmek önemlidir ve bulaşmaların giderilmesine ve sitenin korunmasına yardımcı olabilecek yetenekli güvenlik uzmanları bulunmaktadır.

850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.