Siber güvenlik sürekli olarak gelişiyor ve yeni tehditlerle karşı karşıya kalıyoruz. Birçoğu arasında, hala aktif olan sahte Chrome güncelleme kötü amaçlı yazılımı önemli bir tehdit oluşturuyor.
Bu kötü amaçlı yazılım, kullanıcılara gerçek bir Chrome tarayıcı güncellemesi gibi görünüyor, ancak aslında bilgisayarınıza uzaktan erişim truva atı (RAT) bulaştırmayı amaçlayan bir tehlikedir.
Güvenlik uzmanları, bu kötü amaçlı yazılımın yeni bir sürümünü tespit etti ve bunu “FakeUpdateRU” adıyla tanımladı. Bu, önceki SocGholish kötü amaçlı yazılımından farklı bir grup tarafından geliştirilen yeni bir kötü amaçlı yazılımdır. Fidye yazılımına olan yüksek talepten yararlanmaya çalışan birçok benzer grup bulunmaktadır.
Google, bu kötü amaçlı yazılımı yaymakla suçlanan web sitelerinin birçoğunu engellemiş olsa da, bu tür tehditler hala mevcuttur. Sahte Chrome güncelleme sayfaları, web sitelerinin ana indeks[.]php dosyasını değiştirerek çalışır.
Bu sayfa, gerçek Chrome güncelleme sayfasına oldukça benzer görünmektedir. Dikkat çeken bir özellik, kötü amaçlı yazılım dosyalarının Google web sitesinin İngiltere İngilizcesi sürümünden alınan düz HTML kodundan oluşturulmuş olmasıdır. Bu, bilgisayar korsanlarının Chrome tabanlı bir tarayıcı kullanarak kötü amaçlı yazılım oluşturduğunu göstermektedir. Ancak, bu nedenle bazı Rusça kelimeler, Chrome kullanmayan kullanıcılar için bile dosyalarda görünebilir.
Kullanıcıları aldatmak için, kötü amaçlı yazılımın sahte güncelleme sayfasındaki bazı kelimeleri “İndir” yerine “Güncelle” olarak değiştirdiği gözlemlenmiştir.
Ancak gerçek tehlike, sayfanın alt kısmında bulunan ve “Güncelle” düğmesine tıkladığınızda kötü amaçlı yazılım indirmeyi başlatan JavaScript kodundadır.
Bu kod, genellikle başka bir web sitesindeki nihai indirme URL’sini almak için Chrome temalı bir alan adı kullanır. Kötü amaçlı yazılım, Zgrat ve Redline Stealer gibi fidye yazılımlarıyla bilinen kötü amaçlı yazılım ailelerine aittir.
Kötü amaçlı yazılımın bazı yeni sürümleri, sahte güncelleme sayfalarındaki Rusça kelimelerin çoğunu kaldırmıştır, bu da bilgisayar korsanlarının taktiklerini değiştirdiği anlamına gelmektedir.
Endişe verici olan, virüs bulaşmış bazı web sitelerinin geçici bir Telegram kanalıyla iletişim kuran JavaScript koduna sahip olmasıdır. Bu, bilgisayar korsanlarının kötü amaçlı yazılımlarının indirildiğine dair bildirim almak için kullanabilecekleri bir yöntem olabilir.
Uzmanlar, bu tür sahte Chrome güncelleme kötü amaçlı yazılımlarından kaçınmak için eklentilerin ve temaların güncel tutulmasını, WordPress web sitelerinin daha güvenli hale getirilmesini, verilerin düzenli olarak yedeklenmesini ve güvenlik duvarlarının kullanılmasını önermektedirler. Eğer bir web sitesi virüs bulaşmışsa, hızlı bir şekilde harekete geçmek ve enfeksiyonları temizlemek için uzman bir güvenlik uzmanından yardım almak önemlidir.