Säkerhet forskare, Brad Duncan, har nyligen märkt två olika kampanjer som använder ”HoeflerText teckensnitt hittades inte” popup-fönster för att sprida skadlig kod. När en användare anger en komprometterad webbplats, han eller hon informeras om att de behöver installera en uppdatering för att visa webbplatsen. Detta kan antingen leda till RAT (remote access tool) to be installed eller till Locky ransomware. Konstigt nog, först påverkar enbart Google Chrome, och den andra en fungerar på endast Chrome och Mozilla Firefox.

Fake HoeflerText font update pushes RAT and Locky onto Chrome and Firefox user

Chrome HoeflerText font uppdatering sprider råtta malware

För Google Chrome användare, när de anger en komprometterad webbplats, en anmälan kommer popup- och hindra användaren från att komma åt sidan. Det förklarar att teckensnittet ”HoeflerText” inte hittades, och att du behöver uppdatera din ”Chrome Font Pack”. Förmodligen, webbplatsen användaren försöker komma åt använder det visst teckensnittet, och eftersom det inte är installerat på användarens dator, texten visas inte korrekt. Det har Chrome-logotypen på det, visar Google Inc. som tillverkaren, men ser inte distans legitima. Tyvärr en hel del mindre erfarna användare kan falla för detta, och konsekvenserna kan inte vara trevlig.

Chrome HoeflerText font update spreads RAT malwareOm användaren trycker på knappen Uppdatera en ”Chrome_Font.exe” fil skulle Ladda ner till datorn. När öppnas, skulle det installera verktyget NetSupport Manager fjärråtkomst. Detta verktyg är associerade med en annan malware kampanjen som ledde till hackade Steam-konton.

Chrome_FontSamma typ kampanj användes förra året att sprida olika ransomware, och det är okänt varför det nu distribuerar råtta istället för fil-kryptera malware. Verktyget har verkligen inte en närvaro och användare kanske inte ens märker det är där. Om du råkar det installerat, kan det vara relaterade till någon form av skadlig kod aktivitet. Det bör också noteras att platsen som visar skadlig pop-up fungerar bara på Google Chrome. Duncan noterar att om en Internet Explorer användare var att gå in på webbplatsen, skulle han eller hon få en tech-support bluff med ett telefonnummer i stället för popup-fönstret.

Samma typ av pop-up leder användare Firefox och Chrome till Lukitus ransomware

Duncan märkte också samma typ av popup-fönster i en annan kampanj. Och detta leder till Lukitus ransomware. Om du inte är bekant med det namnet, kan du identifiera Locky ransomware. Det är en av de mest ökända fil-kryptera bitarna av skadlig kod, och efter en tid att vara i skuggan, har det återkom med ett nytt namn, Lukitus.

Malware kampanjen använder falska e-postmeddelanden från Dropbox för att leda användare till ransomware. Offer får ett mail, från förment Dropbox, hävdar att de måste verifiera sin e-post innan registreringen är klar. Om du skulle trycka på knappen ‘Verifiera din e-post’, skulle de tas till en webbplats som visas den tidigare nämnda ”HoeflerText” pop-up. Observera att beroende på din webbläsare, du kan få en annan plats. Om användare använder Internet Explorer eller Microsoft Edge av länkade webbplatsen, de skulle tas till en falsk Dropbox webbplats och ingenting skulle hända. Men kommer Firefox och Chrome användare se anmälan.

RAT instead of file-encryptingOm användaren trycker på uppdatera-knappen, en fil med namnet Win.JSFontlib09.js kommer att ladda ner till datorn. Enligt Duncan, kommer att filen hämta och installera Locky. När Locky’s i offrets dator, filer krypteras och ett hotbrev kommer att tas bort.

Win-JSFontlib09Såvitt genomarbetade spridningen metoder går, detta inte kan vara mycket effektiv. Och det är inte nya heller. Falska popup-uppdateringar har använts för att sprida skadlig kod innan. Denna infektion är också mycket lätt att undvika. Bara avstå från att öppna e-länkar och bifogade filer från avsändare du inte känner igen och installera inte tillägg utan att se till att de är säkra. En enkel Google-sökning skulle ha berättat för dig att installera HoeflerText skulle leda till skadlig kod. Och i varje fall ingen webbläsare någonsin kommer att be dig att installera en uppdatering av teckensnitt.

Kommentera