Aanvallers maken gebruik van valse Google Chrome-meldingen op legitieme, gecompromitteerde websites om slachtoffers malafide PowerShell-scripts uit te laten voeren. Volgens securitybedrijf Proofpoint wordt deze vorm van social engineering steeds vaker toegepast. Zo waarschuwde antivirusbedrijf Ahnlab onlangs dat deze tactiek ook bij phishingmails wordt toegepast.

Bij de aanvallen die Proofpoint waarnam hebben de aanvallers legitieme websites weten te compromitteren, waar vervolgens malafide HTML-code en JavaScript aan wordt toegevoegd. Zodra gebruikers de gecompromitteerde websites bezoeken krijgen ze een melding te zien die van Google Chrome afkomstig lijkt en stelt dat er een probleem is met het weergeven van de website.

Om het probleem op te lossen moet de gebruiker volgens de foutmelding een "rootcertificaat" installeren. Hiervoor moet de gebruiker "code" kopiëren en in Windows PowerShell uitvoeren, aldus de instructies. In werkelijkheid is de "code" een malafide PowerShell-script dat wanneer uitgevoerd verschillende infostealer-malware op het systeem installeert. Deze malware kan allerlei wachtwoorden, inloggegevens en andere data van het systeem stelen en terugsturen naar de aanvallers.

Ook verandert de malware crypto-adressen in het clipboard met die van de aanvaller. Wanneer slachtoffers op een besmet systeem een cryptotransactie doen en de wallet van de begunstigde kopiëren zorgt de malware ervoor dat het adres in het clipboard wordt aangepast en het geld naar de aanvaller gaat als de gebruiker niet goed oplet bij het plakken.

"Deze aanvalsketen vereist aanzienlijke interactie van de gebruiker om succesvol te zijn. De social engineering in de valse foutmelding is slim en lijkt een betrouwbare melding afkomstig van het besturingssysteem. Het bevat zowel het probleem als de oplossing, zodat de gebruiker actie kan ondernemen zonder over het risico na te denken", aldus de onderzoekers.