Analityka systemów zabezpieczeń, Brad Duncan, niedawno zauważył dwóch różnych kampanii za pomocą wyskakujących okienek „nie odnaleziono czcionki HoeflerText” do rozprzestrzeniania złośliwego oprogramowania. Gdy użytkownik wprowadza określoną witrynę, został poinformowany, że trzeba zainstalować aktualizację, aby wyświetlić witrynę. Albo może to prowadzić do RAT (remote access tool) to be installed, lub Locky ransomware. O dziwo pierwszy dotyczy wyłącznie Google Chrome, i drugi działa tylko w Chrome i Mozilla Firefox.

Fake HoeflerText font update pushes RAT and Locky onto Chrome and Firefox user

aktualizacji czcionki HoeflerText Chrome rozprzestrzenia się złośliwe oprogramowanie szczur

Dla użytkowników Google Chrome po wprowadzeniu złamany witryny, będą powiadomienia wyskakujące i uniemożliwić użytkownikowi dostęp do strony. To wyjaśni, że nie odnaleziono czcionki „HoeflerText”, i że musisz zaktualizować swój „Chrome Font Pack”. Podobno witryny sieci Web, którą użytkownik próbuje uzyskać dostęp używa określonej czcionki, i ponieważ nie jest on zainstalowany na komputerze użytkownika, tekst nie są wyświetlane poprawnie. Widnieje na nim Chrome logo, wyświetla Google Inc. jako producenta, ale nie patrzeć zdalnie uzasadnione. Niestety dużo mniej doświadczonych użytkowników może spaść w tym i konsekwencji może nie być przyjemne.

Chrome HoeflerText font update spreads RAT malwareJeśli użytkownik nacisnął przycisk Aktualizuj, pobrać plik „Chrome_Font.exe” na komputerze. Po otwarciu, by zainstalować narzędzie dostępu zdalnego NetSupport Manager. To narzędzie jest związane z innej kampanii malware, które doprowadziły do posiekany konta Steam.

Chrome_FontTej samej kampanii typu był używany w zeszłym roku do rozprzestrzeniania szkodnika różnych, i nie wiadomo, dlaczego to jest teraz wdrażanie szczur zamiast szyfrowanie plików malware. Narzędzie nie naprawdę mieć obecność, i użytkownicy może nawet nie zauważyć nią nie jest. Jeśli wystąpi to zainstalowany, może być związane z pewnego rodzaju aktywnością szkodliwego oprogramowania. Należy również zauważyć, że witryny, który pokazuje złośliwego pop-up będzie działać tylko na Google Chrome. Duncan zauważa, że jeśli użytkownik Internet Explorer wejść na stronę, on/ona uzyskać oszustwo pomoc techniczna z numeru telefonu, zamiast okna podręcznego.

Tego samego typu pop-up zgłoszeń użytkowników Firefox i Chrome do Lukitus ransomware

Duncan Zauważyłem również tego samego typu pop-up w różnych kampanii. I ten jeden prowadzi do Lukitus ransomware. Jeśli nie jesteś zaznajomiony z tej nazwy, może rozpoznać Locky ransomware. To jedna z najbardziej niesławnych kawałki szyfrowanie plików złośliwego oprogramowania, a po pewnym czasie będąc w cieniu, ma pojawił się pod nową nazwą, Lukitus.

Ta kampania malware wykorzystuje fałszywe e-maile Dropbox prowadzi użytkowników do ransomware. Ofiary dostać poczta elektroniczna, z rzekomo Dropbox, twierdząc, że trzeba sprawdzić ich e-mail przed zakończeniem rejestracji. Gdybyś naciśnij na przycisk ‚Sprawdź swój e-mail’, oni bierze się z witryną, która wyświetlana wspomniane wcześniej „HoeflerText” pop-up. Należy zauważyć, że w zależności od przeglądarki, może masz inną witrynę. Jeśli użytkownicy korzystali z Internet Explorer lub Microsoft Edge, aby uzyskać dostęp do strony związane, one do fałszywej witryny Dropbox i nic się nie stanie. Jednak Firefox i Chrome użytkowników zostanie wyświetlone powiadomienie.

RAT instead of file-encryptingJeśli użytkownik naciśnie przycisk aktualizacji, plik o nazwie Win.JSFontlib09.js będzie pobrać na komputer. Według Duncan plik pobierze i zainstaluje Locky. Po Locky jest wewnątrz komputera ofiary, pliki zostaną zaszyfrowane i okupu zostaną usunięte.

Win-JSFontlib09Jeśli chodzi o opracowanie powierzchni metody iść, to nie może być bardzo skuteczne. I to nie jest nowy. Fałszywe aktualizacje podręcznego zostały wykorzystane do rozprzestrzeniania złośliwego oprogramowania przed. Ten szczególny infekcja jest również bardzo łatwo uniknąć. Po prostu powstrzymać się od otwarcia wiadomości e-mail łącza i załączniki od nadawców nie rozpoznają i nie należy instalować rozszerzenia bez upewniając się, że są one bezpieczne. Proste wyszukiwanie Google powiedział Ci, że Instalowanie aktualizacji HoeflerText doprowadziłoby do złośliwego oprogramowania. I w każdym przypadku, przeglądarka nie nigdy nie poprosi Cię do zainstalowania aktualizacji czcionki.

Dodaj komentarz