vultr.

NTT安全分析师发现了一个恶意软件传播活动。 该活动利用一个以谷歌Chrome浏览器更新形式出现的欺骗性错误屏幕来传播恶意软件。

据报道，随着该活动的发展，一些目标已确认下载了恶意软件。 攻击活动开始时会渗透网站并插入恶意JavaScript代码，在用户访问时触发脚本。 这些脚本会根据用户是否符合目标标准启动额外脚本的下载。

Pinata IPFS（InterPlanetary File System，专有文件系统）服务为这些有害脚本的发送提供了便利，它掩盖了存储文件的源服务器。 这种方法挫败了将服务器列入黑名单的努力，并使其难以攻克。

当符合目标条件的访问者访问被入侵网站时，脚本会触发一个伪装成谷歌浏览器自动更新失败的欺骗性错误信息。 伪造的错误屏幕显示所需更新的安装不成功，并提示访问者要么手动安装更新包，要么等待下一次自动更新。

错误信息如下："Chrome 浏览器自动更新时发生错误。 请稍后手动安装更新包，或等待下一次自动更新。

该攻击涉及自动下载一个名为 "release.zip "的 ZIP 文件，该文件假装是谷歌 Chrome 浏览器的更新。 然而，这个文件包含一个 Monero 矿工，它利用设备的 CPU 资源为攻击者生成加密货币。

启动后，恶意软件会将自身复制到 C:\Program Files\Google\Chrome 中作为 "updater.exe"，并部署一个真正的可执行文件从内存中运行。 该恶意软件利用 "BYOVD "技术，利用WinRing0x64.sys漏洞获取设备的SYSTEM权限。

通过添加计划任务和修改注册表，Windows Defender无法检测到该矿工。 完成该过程后，Monero矿工连接到xmr.2miners[.]com，并开始挖掘难以追踪的加密货币。

作为预防措施，避免从第三方网站安装安全更新，始终依靠软件开发商提供的更新或程序内的自动更新。