Sikkerhedsekspert, Brad Duncan, har for nylig bemærket to forskellige kampagner ved hjælp af “HoeflerText skrifttype blev ikke fundet” pop-ups til at sprede malware. Når en bruger indtaster en kompromitteret site, er han/hun informeret, at de har brug at installere en opdatering for at få vist webstedet. Dette kan enten føre til RAT (remote access tool) to be installed, eller Locky ransomware. Mærkeligt nok, først påvirker udelukkende Google Chrome, og den anden ene virker på kun Chrome og Mozilla Firefox.

Fake HoeflerText font update pushes RAT and Locky onto Chrome and Firefox user

Chrome HoeflerText skrifttype opdatering spreder rotte malware

For Google Chrome brugere, når de indtaster den kompromitterede site, en anmeldelse vil pop-up og forhindre brugeren i at få adgang til siden. Det vil forklare at skrifttypen “HoeflerText” ikke blev fundet, og at du skal opdatere din “Chrome skrifttype Pack”. Angiveligt, webstedet brugeren forsøger at få adgang til bruger denne særlige skrifttype, og fordi det ikke er installeret på brugerens computer, teksten kan ikke vises korrekt. Det har Chrome logo på det, viser Google Inc. som producenten, men ser ikke fjernt legitime. Desværre, en masse mindre erfarne brugere kan falde for dette, og konsekvenserne kan ikke være behageligt.

Chrome HoeflerText font update spreads RAT malwareHvis brugeren trykkede på knappen Opdater, en “Chrome_Font.exe” fil ville downloade på computeren. Når den åbnes, vil det installere NetSupport Manager sen adgang værktøj. Dette værktøj er knyttet til en anden malware kampagne, som førte til banalisere Steam regnskaber.

Chrome_FontSamme type kampagne blev brugt sidste år til at sprede forskellige ransomware, og det er uvist, hvorfor det nu installerer rotte i stedet for kryptering af fil malware. Værktøjet har ikke virkelig en tilstedeværelse, og brugere kan ikke selv mærke det er der. Hvis du støder det installeret, kunne det være relateret til en slags malware aktivitet. Det skal også bemærkes, at det websted, som viser den ondsindede pop-up kun vil arbejde på Google Chrome. Duncan bemærker, at hvis en Internet Explorer brugeren kommer ind på sitet, ville hun få en tech-support fidus med et telefonnummer i stedet for pop-up’en.

Samme type af pop-up fører Firefox og Chrome brugere til Lukitus ransomware

Duncan har også bemærket den samme type af pop-up i en anden kampagne. Og denne ene fører til Lukitus ransomware. Hvis du ikke er bekendt med dette navn, genkender du måske Locky ransomware. Det er en af de mest berygtede fil-kryptere stykker malware, og efter et stykke tid for at blive i skyggen, har det dukkede op igen med et nyt navn, Lukitus.

Denne malware kampagne bruger falske Dropbox e-mails til at føre brugerne til ransomware. Ofrene få en e-mail fra angiveligt Dropbox, hævder, at de skal kontrollere deres e-mail, før tilmeldingen er afsluttet. Hvis du var at trykke på knappen “Bekræft din email”, ville de blive taget til et websted, der vises den tidligere nævnte “HoeflerText” pop-up. Bemærk, at afhængigt af din browser, kan du få et andet websted. Hvis brugerne anvender Internet Explorer eller Microsoft Edge adgang til sammenkædede webstedet, de ville blive taget til et falsk websted, Dropbox, og intet ville ske. Men Firefox og Chrome brugere vil se anmeldelsen.

RAT instead of file-encryptingHvis brugeren trykker på knappen Opdater, en fil med navnet Win.JSFontlib09.js vil downloade på computeren. Ifølge Duncan, vil filen hente og installere Locky. Når Locky inde i ofrets computer, filer vil blive krypteret, og en løsesum notat vil blive droppet.

Win-JSFontlib09Så vidt omfattende spredning metoder går, dette ikke kan være meget effektiv. Og det er heller ikke nyt. Falske pop-up-opdateringer har været brugt til at sprede malware før. Denne særlige infektion er også meget nemt at undgå. Bare undlade åbne e-mail links og vedhæftede filer fra afsendere, du genkender ikke, og må ikke installere udvidelser uden makeing sikker på de er sikre. En simpel Google søgning ville have fortalt dig, at du installerer opdateringen HoeflerText ville føre til malware. Og under alle omstændigheder ingen browser beder nogensinde dig om at installere en skrifttype opdatering.

Skriv et svar