Sikkerhetsforsker, Brad Duncan, nylig bemerket to forskjellige kampanjer ved hjelp av «HoeflerText skriften ble ikke funnet» popup-vinduer til å spre malware. Når en bruker angir et utsatt område, informasjon fått at de trenger å installere en oppdatering for å vise webområdet. Dette kan enten føre RAT (remote access tool) to be installed eller Locky ransomware. Merkelig nok først påvirker utelukkende Google Chrome, og andre fungerer på bare Chrome og Mozilla Firefox.
Chrome HoeflerText skrifttype oppdatere sprer ROTTE malware
Google Chrome brukere når de angir den kompromitterte området, en anmeldelse vil popup og hindre brukeren i å få tilgang til siden. Det vil forklare at «HoeflerText» skriften ikke ble funnet, og at du må oppdatere «Chrome Font Pack». Tilsynelatende, nettstedet brukeren prøver å få tilgang til bruker denne skriften, og fordi det ikke er installert på brukerens datamaskin, teksten vises ikke riktig. Det har Chrome logo på den, viser Google Inc. som produsent, men ser ikke eksternt legitime. Dessverre mange mindre erfarne brukere kan falle for dette, og konsekvensene kan ikke være behagelig.
Hvis brukeren trykker på knappen Oppdater, en «Chrome_Font.exe» fil ville dataoverføre på datamaskinen. Når åpnet, ville den installere verktøyet NetSupport Manager RAS. Dette verktøyet er knyttet til en annen malware kampanje som førte til hacket Steam kontoer.
Samme type kampanje ble brukt i fjor å spre ulike ransomware, og det er ukjent hvorfor det nå distribuerer RAT i stedet for kryptering av fil malware. Verktøyet egentlig har ikke en tilstedeværelse, og brukerne kan ikke engang merke til det er der. Hvis du installert, kan det være relatert til noen form for malware aktivitet. Det bør også bemerkes at området som viser den skadelige pop-up fungerer bare på Google Chrome. Duncan bemerker at hvis en Internet Explorer bruker var å gå til området, ville han få en tech-støtte svindel et telefonnummer i stedet for popup-vinduet.
Samme type pop-up fører brukere Firefox og Chrome til Lukitus ransomware
Duncan også lagt merke til samme type popup i en annen kampanje. Og dette fører til Lukitus ransomware. Hvis du ikke er kjent med det navnet, kan du gjenkjenne Pane ransomware. Det er en av de mest beryktede fil-kryptering stykker av malware, og etter en tid å være i skyggen, har det dukket opp med et nytt navn, Lukitus.
Denne malware kampanjen bruker falske e-postmeldinger med Dropbox for å lede brukere til ransomware. Ofre bli en email fra angivelig Dropbox, hevder at de må kontrollere e-post før registreringen er fullført. Hvis du trykker på knappen ‘Bekreft e’, ville de bli tatt til et område som vises den tidligere nevnte «HoeflerText» popup. Merk at avhengig av nettleseren, kan du få et annet nettsted. Hvis brukere bruker Internet Explorer eller Microsoft Edge til den koblede siden, de vil bli tatt til et falskt Dropbox nettsted og ingenting ville skje. Men vil Firefox og Chrome brukere se meldingen.
Hvis brukeren trykker på knappen Oppdater, en arkiv benevnt Win.JSFontlib09.js laster ned på datamaskinen. Ifølge Duncan, vil filen Dataoverføre og installere Locky. Når Locky er inne i offerets datamaskin, filene krypteres og en løsepenge notat vil bli fjernet.
Så langt omfattende spredning metodene gå, dette kan være svært effektiv. Og det er ikke ny enten. Falske popup oppdateringer har blitt brukt til å spre malware før. Denne detalj infeksjon er også svært enkelt å unngå. Ikke bare åpne e-post lenker og vedlegg fra avsendere du gjenkjenner ikke og ikke installere utvidelser uten å gjøre at de er trygge. Et enkelt Googlesøk skulle har fortalt deg som installerer oppdateringen HoeflerText ville føre til malware. Og uansett, ingen nettleser vil be deg installere en skrift-oppdatering.