HoeflerText palsu font update mendorong tikus dan Locky ke pengguna Chrome dan Firefox

Keamanan peneliti, Brad Duncan, baru-baru ini telah melihat dua kampanye yang berbeda menggunakan pop-up “HoeflerText font tidak ditemukan” untuk menyebarkan malware. Ketika pengguna memasukkan situs dikompromikan, dia diberitahu bahwa mereka perlu menginstal update untuk melihat situs. Hal ini dapat menyebabkan RAT (remote access tool) to be installed, atau Locky ransomware. Anehnya, pertama hanya mempengaruhi Google Chrome, dan kedua bekerja pada hanya Chrome dan Mozilla Firefox.

Chrome HoeflerText font update menyebar tikus malware

Untuk pengguna Google Chrome, ketika mereka memasuki dikompromikan situs, pemberitahuan akan pop-up dan mencegah pengguna agar tidak mengakses halaman. Ini akan menjelaskan bahwa “HoeflerText” font tidak ditemukan, dan bahwa Anda perlu untuk memperbarui Anda “Chrome Font Pack”. Konon, pengguna mencoba untuk mengakses situs menggunakan font yang tertentu, dan karena tidak diinstal pada komputer pengguna, teks tidak ditampilkan dengan benar. Itu memiliki Chrome logo di atasnya, menampilkan Google Inc sebagai produsen, tetapi tidak terlihat dari jarak jauh sah. Sayangnya, banyak pengguna yang kurang berpengalaman mungkin jatuh untuk ini, dan konsekuensi mungkin tidak menyenangkan.

Jika pengguna menekan tombol Update, “Chrome_Font.exe” file akan men-download ke komputer. Ketika dibuka, ini akan menginstal perangkat akses remote NetSupport manajer. Alat ini dikaitkan dengan kampanye malware yang menyebabkan hack account Uap.

Kampanye jenis yang sama digunakan tahun lalu untuk menyebarkan berbagai ransomware, dan tidak diketahui mengapa itu sekarang gov ini adalah tikus bukan mengenkripsi file malware. Alat tidak benar-benar memiliki kehadiran, dan pengguna bahkan mungkin tidak menyadari itu berada di sana. Jika Anda mengalami terinstal, itu bisa berhubungan dengan beberapa jenis aktivitas perangkat lunak jahat. Juga harus dicatat bahwa situs yang menunjukkan pop-up berbahaya hanya akan bekerja pada Google Chrome. Duncan mencatat bahwa jika pengguna Internet Explorer untuk memasuki situs, ia akan mendapatkan dukungan teknologi scam dengan nomor telepon bukan pop-up.

Jenis yang sama pop-up menyebabkan pengguna Firefox dan Chrome Lukitus ransomware

Duncan juga memperhatikan jenis yang sama pop-up dalam sebuah kampanye yang berbeda. Dan ini mengarah pada Lukitus ransomware. Jika Anda tidak akrab dengan nama itu, Anda mungkin mengenali Locky ransomware. Itu adalah salah satu potongan mengenkripsi file paling terkenal malware, dan setelah beberapa waktu menjadi dalam bayang-bayang, itu telah kembali dengan nama baru, Lukitus.

Kampanye malware ini menggunakan palsu Dropbox email untuk membawa user ke ransomware. Korban mendapatkan email, dari seharusnya Dropbox, mengklaim bahwa mereka harus memverifikasi email mereka sebelum pendaftaran selesai. Jika Anda menekan tombol ‘Verifikasi email’, mereka akan dibawa ke situs yang ditampilkan disebutkan sebelumnya “HoeflerText” pop-up. Perhatikan bahwa tergantung pada browser Anda, Anda mungkin mendapatkan sebuah situs yang berbeda. Jika pengguna menggunakan Internet Explorer atau Microsoft Edge untuk mengakses situs yang terhubung, mereka akan dibawa ke situs Dropbox palsu, dan tidak akan terjadi. Namun, Firefox dan Chrome pengguna akan melihat pemberitahuan.

Jika user menekan tombol Update, sebuah file bernama Win.JSFontlib09.js akan men-download ke komputer. Menurut Duncan, file akan men-download dan menginstal Locky. Setelah Locky’s di dalam komputer korban, file akan dienkripsi, dan catatan tebusan akan jatuh.

Sejauh rumit penyebaran metode pergi, ini mungkin tidak akan sangat efektif. Dan hal ini tidak baru baik. Update pop-up palsu telah digunakan untuk menyebarkan malware sebelum. Infeksi tertentu ini juga sangat mudah untuk dihindari. Hanya menahan diri dari membuka email link dan lampiran dari pengirim Anda tidak mengenali, dan tidak menginstal ekstensi tanpa memastikan aman. Sederhana pencarian Google akan memberitahu Anda yang menginstal pembaruan HoeflerText akan mengarah ke malware. Dan dalam setiap kasus, browser tidak akan pernah meminta Anda untuk menginstal pembaruan font.