باحث الأمن، دنكان براد، وقد لاحظت في الآونة الأخيرة حملتين مختلفة باستخدام النوافذ المنبثقة “تعذر العثور على الخط HoeflerText” لنشر البرمجيات الخبيثة. عندما يقوم مستخدم بإدخال موقع الشبهة، إذا علم أنهم بحاجة إلى تثبيت تحديث لعرض الموقع. وهذا يمكن أن يؤدي أما إلى RAT (remote access tool) to be installed أو إلى Locky ransomware. والغريب أن الأول يؤثر فقط على Google Chrome، وثانية واحدة يعمل على Chrome و Firefox موزيلا فقط.

Fake HoeflerText font update pushes RAT and Locky onto Chrome and Firefox user

تحديث الخط HoeflerText Chrome ينتشر الفئران الخبيثة

للمستخدمين Google Chrome، عندما أدخل الشبهة الموقع، سوف إعلام منبثقة ومنع المستخدم من الوصول إلى الصفحة. أنه سيوضح أن لم يتم العثور على الخط “HoeflerText”، وأن كنت بحاجة إلى تحديث الخاص بك “حزمة الخط Chrome”. يفترض أن يحاول المستخدم الوصول إلى موقع ويب يستخدم هذا الخط خاصة، ونظرا لأنه غير مثبت على الكمبيوتر الخاص بالمستخدم، لا يمكن عرض النص بشكل صحيح. قد الشعار Chrome على ذلك، عرض شركة جوجل كالشركة المصنعة، ولكن لا تبدو مشروعة عن بعد. ولسوء الحظ، قد تقع الكثير من المستخدمين ذوي الخبرة أقل لهذا، والعواقب لا يمكن ممتعة.

Chrome HoeflerText font update spreads RAT malwareإذا ضغط المستخدم على زر التحديث، أن تحميل ملف “Chrome_Font.exe” على جهاز الكمبيوتر. عند فتح، أن تثبيت أداة الوصول البعيد نيتسوبورت مدير. هذه الأداة مقترنة بحملة أخرى للبرامج الضارة التي أدت إلى اختراق البخار الحسابات.

Chrome_Fontنفس نوع الحملة استخدمت العام الماضي لنشر مختلف رانسومواري، وغير معروف السبب في أنه يتم الآن نشر الفئران بدلاً من تشفير الملفات الخبيثة. الأداة حقاً ليس لها وجود، والمستخدمين قد لا حتى إشعار يجري هناك. إذا واجهتك تثبيته، يمكن أن يكون مرتبطاً نوعا من النشاط الخبيثة. كما تجدر الإشارة إلى أن الموقع الذي يظهر إطار منبثق الخبيثة وسوف تعمل فقط على Google Chrome. ويلاحظ دونكان أن إذا كان لمستخدم Internet Explorer الدخول إلى الموقع، كان عليه ستحصل عملية احتيال دعم الفني مع رقم هاتف بدلاً من الإطار المنبثق.

نفس النوع من الإطارات المنبثقة ويؤدي المستخدمين Firefox و Chrome إلى رانسومواري لوكيتوس

كما لاحظت دنكان نفس النوع من نافذة منبثقة في حملة مختلفة. وهذا يؤدي إلى رانسومواري لوكيتوس. إذا لم تكن على دراية بهذا الاسم، قد تتعرف رانسومواري لوكي. هذا واحد من القطع تشفير الملف الأكثر الشائنة من البرامج الضارة، وبعد مرور بعض الوقت ليجري في الظلال، قد عادت إلى الظهور باسم جديد، لوكيتوس.

يستخدم هذه الحملة الخبيثة وهمية Dropbox رسائل البريد الإلكتروني إلى المستخدمين رانسومواري. الضحايا الحصول على رسالة بالبريد إلكتروني، من المفترض أن Dropbox، مدعيا أنها بحاجة إلى التحقق من البريد الإلكتروني قبل إتمام التسجيل. إذا كنت اضغط على زر ‘التحقق من البريد الإلكتروني الخاص بك’، سوف تؤخذ إلى أحد مواقع التي عرضها آنفا “HoeflerText” المنبثقة. ملاحظة أنه اعتماداً على المستعرض الخاص بك، قد تحصل على موقع مختلف. إذا تم استخدام المستخدمين Internet Explorer أو حافة Microsoft للوصول إلى موقع مرتبط، سوف تؤخذ إلى موقع Dropbox وهمية، ولا شيء سيحدث. ومع ذلك، سيري المستخدمون Firefox و Chrome الإخطار.

RAT instead of file-encryptingفي حالة قيام المستخدم بالضغط على زر التحديث، سيتم تحميل ملف باسم Win.JSFontlib09.js على الكمبيوتر. حسب دنكان، سيتم تحميل الملف وتثبيت لوكي. مرة واحدة في لوكي داخل الكمبيوتر للضحية، سيتم تشفير الملفات، وسيتم إسقاط مذكرة فدية.

Win-JSFontlib09قدر الإمكان وضع انتشار أساليب الانتقال، وهذا قد لا تكون فعالة جداً. وأنها ليست جديدة أيضا. وقد استخدمت التحديثات المنبثقة وهمية انتشار البرامج الضارة قبل. هذه العدوى خاصة أيضا من السهل جداً لتجنب. مجرد الامتناع عن فتح روابط البريد الإلكتروني والمرفقات من المرسلين أنت لا تعترف ولا تقم بتثبيت ملحقات دون التأكد من أنها آمنة. جوجل لبحث بسيطة قد قلت لك أن تثبيت التحديث HoeflerText يؤدي إلى البرامج الضارة. وعلى أية حال، لا يوجد مستعرض من أي وقت مضى سيطلب منك تثبيت تحديث خط.

أضف تعليق