恶意脚本影响多种网站

关键要点

• 多个网站被攻破，传播虚假的Chrome自动更新提示。
• 恶意JavaScript代码引发攻击，后续下载隐蔽的脚本。
• 下载的 'release.zip' 文件中包含Monero矿工。
• 矿工利用漏洞获取SYSTEM权限并禁用安全措施。
• 建议避免从第三方网站下载安全更新。

近日，多个包括新闻网站、博客、在线商店及成人网站在内的网站被攻击，恶意脚本被植入，导致用户遇到虚假的GoogleChrome自动更新提示，这些提示被用来传播恶意软件，正如所报告的。根据NTT的一份报告，攻击开始时发送的恶意JavaScript代码会引发后续下载隐藏的脚本，这些脚本的来源已通过使用Pinata星际文件系统服务进行了隐藏。

攻击者会创建假冒的Chrome错误界面，声称需要进行自动更新，这就会触发一个名为'release.zip'的文件下载，这个文件中含有一个，该矿工利用“自带易受攻击驱动”的技术，进而利用WinRing0x64.sys漏洞，从而获取SYSTEM权限。除此之外，这个Monero矿工还会创建计划任务并对WindowsDefender进行排除，同时停止Windows更新和禁用防病毒系统，接着连接到xmr.2miners.com开启Monero挖矿。

为了避免此类攻击，用户应尽量避免从第三方网站下载安全更新。务必保持操作系统和软件的安全性和最新性，以防潜在的网络风险。