Pesquisadores detectaram uma campanha que explora uma tela falsa de erro de atualização do Google Chrome para distribuir malware. A campanha ganhou força em fevereiro de 2023, com downloads de malware confirmados relatados em vários alvos.

A campanha de ataque começa com o comprometimento de sites, onde o código JavaScript malicioso é injetado para executar scripts após a visita do usuário. Os scripts baixam automaticamente um arquivo ZIP fingindo ser uma atualização do Chrome.

Quando um visitante direcionado acessa o site comprometido, uma tela falsa de erro do Google Chrome é exibida, alegando que uma atualização automática necessária não foi instalada. No entanto, este arquivo implanta um minerador Monero para conduzir a criptomineração.

O malware usa a técnica BYOVD para abusar de um bug no WinRing0x64.sys para obter acesso privilegiado ao sistema. Isso obstrui as atualizações e a detecção de ameaças e pode desativar totalmente o software antivírus.

A criptomineração não é nova, nem o abuso do Google Chrome e de outros softwares legítimos. Portanto, é recomendável evitar a instalação de atualizações de segurança por meio de sites de terceiros e ficar atento a notificações de erro falsas.