Güvenlik araştırmacı, Brad Duncan, son zamanlarda malware yaymak için “HoeflerText yazı tipi bulunamadı” açılır pencereleri kullanarak iki farklı kampanya fark vardır. Kullanıcı güvenliği aşılan bir site girdiğinde, o siteyi görüntülemek için bir güncelleştirme yüklemeniz gerekiyor bildirilir. Bu da RAT (remote access tool) to be installed veya Locky ransomware yol açabilir. Garip bir şekilde, ilk sadece Google Chrome etkiler ve ikincisi ise sadece Chrome ve Mozilla Firefox çalışır.
Chrome HoeflerText yazı tipi güncelleştirme SIÇAN malware yayılır
Google Chrome kullanıcılar için girdikleri zaman güvenliği aşılan bir site, bir bildirim isteği açılır ve kullanıcının sayfa erişimini engellemek. “HoeflerText” yazı tipi bulunamadı ve senin “Chrome Font Paketi” güncellemeniz gerekir açıklayacağız. Sözde, kullanıcının erişmeye çalıştığı Web sitesi bu belirli font kullanır ve kullanıcının bilgisayarında yüklü olmadığından, metni düzgün görüntülenemiyor. Bu Chrome logosu üzerinde vardır, Google Inc. üreticisi olarak görüntüler, ancak uzaktan meşru görünmüyor. Ne yazık ki, daha az deneyimli kullanıcılar bir sürü bunun için düşebilir ve sonuçları hoş olmayabilir.
Belgili tanımlık güncelleştirmek düğme basıldığında kullanıcı, bir “Chrome_Font.exe” dosyayı bilgisayara yüklemek. Ne zaman açıldı, o-cekti install NetSupport Yöneticisi uzaktan erişim aracı. Bu araç kesmek buhar hesapları için yol açan başka bir kötü amaçlı yazılım kampanya ile ilişkilidir.
Aynı tip kampanya geçen yıl çeşitli ransomware yaymak için kullanılan ve o şimdi yerine dosya şifreleme SIÇAN görevlendirecek neden bilinmeyen malware. Araç gerçekten bir varlığa sahip değil ve kullanıcılar bile orada olmak fark edemeyebilirsiniz. Eğer yüklü karşılaşırsanız, malware aktivite çeşit ilgili. Ayrıca kötü niyetli pop-up gösteren site sadece Google Chrome üzerinde çalışacak dikkat edilmelidir. Duncan bir Internet Explorer kullanıcı siteye girmek için olsaydı, o bir teknoloji desteği scam pop-up yerine bir telefon numarasıyla alacağı notlar.
Açılır pencere aynı tür kullanıcıların Firefox ve Chrome Lukitus ransomware için açar.
Duncan Ayrıca pop-up farklı bir kampanyada aynı tür fark ettim. Ve bu bir Lukitus ransomware götürüyor. Bu ada sahip aşina değilseniz, Locky ransomware tanımıyor olabilir. Bu bir malware dosya şifreleme en rezil parçaları ve gölgelerin içinde olmanın bir süre sonra yeni bir adla Lukitus göründü.
Bu kötü amaçlı yazılım kampanya sahte Dropbox e-postalar kullanıcılar için ransomware kurşun için kullanır. Kurban almak an email, sözde Dropbox kayıt tamamlanmadan önce kendi e-posta doğrulamak ihtiyaçları olduğunu iddia eden. ‘Doğrulama e-posta’ butonuna basın olsaydı, onlar daha önce bahsedilen “HoeflerText” görüntülenen bir site açılır alınacaktı. Tarayıcınıza bağlı olarak, farklı bir site alabilirsiniz unutmayın. Kullanıcıların bağlantılı sitesine erişmek için Internet Explorer veya Microsoft Edge kullanıyorsanız bir sahte Dropbox siteye aldılar ve bir şey olmaz. Ancak, Firefox ve Chrome kullanıcı-ecek görmek belgili tanımlık tebliğ.
Kullanıcı güncelleştirme düğmeye basarsa, Win.JSFontlib09.js adlı bir dosya bilgisayarınıza karşıdan yükler. Duncan göre dosya indirmek ve Locky yükleyin. Locky kurbanın bilgisayarının içinde açılınca dosyaları şifrelenir ve fidye notu düştü.
Bildiğim kadarıyla ayrıntılı yayılma yöntemleri gidin, bu çok etkili olmayabilir. Ve de yeni bir şey değil. Sahte açılır güncelleştirmeleri önce malware yaymak için kullanılmaktadır. Bu belirli enfeksiyon da önlemek çok kolaydır. Sadece tanıyor musunuz ve uzantıları kendilerini güvende olduğundan emin olmadan yüklemeyin gönderenlerden gelen e-posta bağlantıları ve ekleri açma kaçınmalıdır. Basit bir Google arama bu HoeflerText güncelleştirme yükleme malware için yol açacağını söylerdi. Ve her durumda, hayır kaş hiç bir yazı tipi güncelleştirmesi yüklemenizi isteyecektir.