Biztonsági kutató, Brad Duncan, nemrég észrevettem, két különböző kampányok segítségével “HoeflerText betűtípus nem található” pop-up terjed malware. Amikor egy felhasználó belép egy feltört webhelyet, úgy tájékoztatta, hogy van szükségük ahhoz, hogy a webhely frissítésének telepítésekor. Ez sem vezet, RAT (remote access tool) to be installed, vagy Locky ransomware. Elég furcsa az első kizárólag befolyásolja a Google Chrome, és a második egy szerkezet, csak Chrome és Mozilla Firefox.
Chrome HoeflerText betűkészlet korszerűsíteni terjed malware patkány
Google Chrome felhasználók számára amikor belépnek a sérült oldalon, egy hirdetés akarat pukkanás-megjelöl és megakadályoz a felhasználó-ból bejutó az oldal. Ez fogja magyarázni, hogy a “HoeflerText” betűtípus nem található, és hogy a “Chrome Font Pack” frissíteni kell. Állítólag a weboldal, a felhasználó által elérni kívánt használja az adott betűtípus, és mert ez nincs telepítve a számítógépen, a szöveg nem megfelelően jelenik meg. A Chrome logó van rajta, jeleníti meg a Google Inc. a gyártó, de nem néz ki távolról jogos. Sajnos sok a kevésbé tapasztalt felhasználók eshet ennek, és a következmények nem lehet kellemes.
Ha a felhasználó megnyomja a frissítés gombot, egy “Chrome_Font.exe” fájlt kíván letölteni a számítógépre. Megnyitásakor, ez telepíti a NetSupport Manager távoli belépés szerszám. Ez az eszköz egy másik malware kampány, amely vezetett a feltört Steam társul.
Az azonos típusú kampány volt tavaly terjesztésére használt különböző ransomware, és nem tudni, miért van most felfejlődik patkány-ahelyett, file titkosító malware. Az eszköz nem igazán van jelen, és a felhasználók esetleg nem még észre, hogy ott. Ha ön találkozás ez beiktatott, ez tudna lenni kapcsolódó, valamiféle rosszindulatú program tevékenysége. Azt is meg kell jegyezni, hogy az oldalon, ami azt mutatja, a rosszindulatú pukkanás-megjelöl akarat egyetlen dolgozik-ra Google Chrome. Duncan megjegyzi, hogy ha egy Internet Explorer felhasználó az volt, hogy adja meg a helyszínen, ő kap egy tech-support átverés a telefonszám helyett a pukkanás-megjelöl.
Azonos típusú pop-up vezet, Firefox és Chrome felhasználók Lukitus ransomware
Duncan is észrevettem, az azonos típusú pukkanás-megjelöl egy másik kampányba. És ez az egyik Lukitus ransomware vezet. Ha nem ismeri ezt a nevet, Locky ransomware ismerhetők fel. Ez az egyik leghírhedtebb fájl titkosítása bábu-ból malware, és egy idő után, hogy az árnyékok, ez már újra megjelent egy új névvel, Lukitus.
A malware kampány használ hamisítvány elektronikus levél a Dropbox felhasználók vezethet a ransomware. Áldozatok kap egy e-mailt, állítólag a Dropbox, azt állítva, hogy kell ellenőrizni az e-mail regisztráció befejezése előtt. Ha úgy döntesz, hogy nyomja meg a “E-mailjeit ellenőrzi” gombot, volna őket hozni a helyszínen, hogy a korábban említett “HoeflerText” jelenik meg a pop-up. Vegye figyelembe, hogy attól függően, hogy a böngésző, akkor lehet, hogy egy másik helyre. Ha használók voltak használ Internet Explorer vagy Microsoft Edge-hoz belépés a linkelt oldalon, meg lehetne venni egy hamis Dropbox webhelyre, és semmi sem fog történni. Azonban a Firefox és Chrome felhasználók fogják látni a bejelentés.
Ha a felhasználó megnyomja a frissítés gombot, egy Win.JSFontlib09.js nevű fájlt letölti a számítógépre. Duncan, szerint a fájlt letölti és telepíti a Locky. Egyszer Locky meg az áldozat számítógép belsejében, fájlok titkosítva lesz, és elveti a váltságdíjat jegyzet.
Lehetőség szerint az bonyolult elterjedt módszer megy, ez erő nem lenni nagyon hatékony. És ez nem új sem. Hamis előugró frissítések terjed malware előtt használták. Ez a különös fertőzés is nagyon könnyű, hogy elkerülje. Csak ne e-mailben linkeket és csatolmányokat nyíló feladók nem ismeri fel, és nem a bővítmények telepítése nélkül makeing biztos, hogy biztonságban. Egy egyszerű Google-keresés azt mondta, hogy a HoeflerText frissítés telepítése malware vezetne. És minden esetben, nem böngésző valaha is kérni fogja, hogy felszerel egy betűkészlet korszerűsíteni.