Diversos sites legítimos foram comprometidos e estão induzindo usuários a instalarem um vírus. Os hackers inseriram scripts em Java, executados automaticamente, que supostamente acusam erro na atualização automática do Google Chrome.

No entanto, o arquivo que seria uma instalação manual da nova versão do navegador é, na verdade, o Monero, um minerador de criptomoedas. Segundo o pesquisador em segurança digital, Rintaro Koike, o vírus entrou em atividade em fevereiro, e consegue enganar medidas de segurança do Windows.

Fugindo do antivírus

Por pegar carona em páginas legítimas, o ataque burla extensões de segurança que bloqueiam acesso a sites potencialmente perigosos. Uma vez executado, o minerador se exclui da lista de apps maliciosos do Windows Defender, desabilita as Atualizações de Windows e reescreve arquivos de sistema, para comprometer outros softwares antivírus.

O ataque focava inicialmente em páginas em japonês, coreano e espanhol. Contudo, ao que tudo indica, o código malicioso é compatível com mais de 100 idiomas, sugerindo que o golpe tem enorme potencial para se espalhar.

Como se proteger?

Apesar de o esquema partir de um script em Java, a instalação propriamente do vírus parte ativamente do usuário. Dessa forma, a primeira medida para se proteger é, ao se deparar com uma página sugerindo a atualização manual do Chrome, ignorar a instrução.

A maioria dos navegadores realiza suas atualizações automaticamente enquanto o usuário navega. Caso o software esteja, realmente, desatualizado por algum erro, o recomendado é tentar o update na aba de configurações do navegador, ou ir à página oficial do produto e baixar a versão mais recente. 

Em caso de contaminação, é possível tentar reverter a situação utilizando ferramentas de remoção robustas com as oferecidas pela Kaspersky, Malwarebytes ou Trend Micro.