Turvallisuus tutkija, Brad Duncan on viime aikoina huomannut kaksi eri kampanjoiden avulla ”HoeflerText fontti ei löytynyt” ponnahdusikkunat levittämään haittaohjelmia. Kun käyttäjä syöttää heikentynyt sivuston, hän ilmoitetaan, että heidän täytyy asentaa nähdäksesi sivuston. Tämä voi johtaa joko RAT (remote access tool) to be installed tai Locky ransomware. Kumma kyllä ensimmäinen koskee pelkästään Google Chrome ja toinen toimii vain Chrome ja Mozilla Firefox.

Fake HoeflerText font update pushes RAT and Locky onto Chrome and Firefox user

Chrome HoeflerText font update leviää ROTTA malware

Google Chrome käyttäjille, kun he tulevat heikentää sivuston, ilmoitus tulee pop-up ja estää käyttäjän pääsyn sivulle. Se selittää, että ”HoeflerText”-fonttia ei löytynyt ja päivitettävä ”Chrome Font Pack”. Oletettavasti käyttäjä yrittää käyttää sivusto käyttää tiettyä kirjasinta ja koska se ei ole asennettu käyttäjän tietokoneeseen, teksti ei näy oikein. Se on Chrome-logo sitä, näyttää Google Inc. valmistajana, mutta ei Näytä etäisesti oikeutettujen. Valitettavasti paljon vähemmän kokeneet käyttäjät voivat lankeavat tähän ja seurauksia ei välttämättä ole miellyttävää.

Chrome HoeflerText font update spreads RAT malwareJos käyttäjä painaa Päivitä-painiketta, ”Chrome_Font.exe”-tiedoston ladata tietokoneeseen. Jahka säilykerasian avaaja, se asentaa NetSupport Manager etäinen pääsy koristella. Tämä työkalu on liitetty toinen malware-kampanja, joka johti hakata Steam tilit.

Chrome_FontSamassa tyyppi kampanjassa käytettiin viime vuonna levittää eri ransomware ja ei tiedetä, miksi se nyt käyttää ROTTA sijaan tiedosto salataan malware. Työkalu ei ole läsnä, ja käyttäjä mahti ei edes huomaa että on siellä. Jos se on asennettu, se voisi liittyä jonkinlainen haittaohjelmien levinneisyys. Olisi myös huomattava, että sivuston, joka osoittaa ilkeä pop-up toimii vain Google Chrome. Duncan toteaa, että jos Internet Explorer käyttäjä oli tulla paikalle, hän saada tech-tukea huijaus puhelinnumero, eikä ponnahdusikkunat.

Samantyyppistä pop-up johtaa Firefox ja Chrome käyttäjiä Lukitus ransomware

Duncan myös huomannut saman tyyppinen pop-up eri kampanjaa. Ja tämä johtaa Lukitus ransomware. Jos et ole perehtynyt nimi, ehkä tunnista Locky ransomware. Tämä on yksi pahamaineisimmista tiedoston salaaminen paloja haittaohjelmia ja jonkin ajan kuluttua on varjoissa, on esiintynyt uudella nimellä Lukitus.

Tämä malware kampanja käyttää väärennettyjä Dropbox sähköpostiviestejä johtaa käyttäjiä ransomware. Uhrien panna by email polveutua muka Dropbox, väittäen, että ne on tarkistettava sähköpostinsa ennen signup valmistumista. Jos paina ”Vahvista sähköpostiosoitteesi”-painiketta, ne otettava sivusto, joka näyttää aiemmin mainittu ”HoeflerText” pop-up. Huomaa, että selaimestasi riippuen saatat saada eri paikkaan. Jos käyttäjät käyttivät Internet Explorer tai Microsoft Edge linkitetyn sivuston ne vielä fake Dropbox-sivuston ja mitään ei tapahdu. Kuitenkin Firefox ja Chrome käyttäjät näkevät ilmoituksen.

RAT instead of file-encryptingJos käyttäjä painaa Päivitä-painiketta, tiedosto nimeltä Win.JSFontlib09.js ladataan tietokoneeseen. Mukaan Duncan tiedosto lataa ja asenna Locky. Kun Locky sisällä uhrin tietokoneeseen, tiedostot salataan ja lunnaita merkille poistetaan.

Win-JSFontlib09Sikäli kuin kehittää levitä menetelmiä menevät, tämä saattaa olla erittäin tehokas. Ja se ei ole uutta. Fake ponnahdusikkunoiden päivitykset on käytetty levittämään haittaohjelmia ennen. Tämän nimenomaisen tartunnan on myös erittäin helppo välttää. Vain olla email linkkejä ja liitteiden avaaminen lähettäjät eivät tunnista ja asentaa laajennuksia ei varmista, ne ovat turvallisia. Yksinkertainen Google-haku olisi kertonut että HoeflerText päivityksen asentaminen johtaisi malware. Ja joka tapauksessa ei selain ei koskaan Kysy fontin päivityksen asentaminen.

Vastaa