Злоумышленники обманом заставляют пользователей загружать вредоносное ПО под видом новых шрифтов.
Специалисты Proofpoint сообщили о новой вредоносной кампании, направленной на пользователей Chrome для Windows. В ходе операции злоумышленники используют известную цепь компрометации EITest, которая ранее связывалась с атаками с применением различных наборов эксплоитов.
Новый виток атак был зафиксирован в начале декабря 2016 года. Эксперты заметили, что один из сайтов, скомпрометированных EITest, загружает на компьютеры посетителей файл «Chrome_Font.exe». Как только жертва запускала браузер Chrome, внедренный на страницу код делал текст не читаемым, а на экране отображалось фальшивое уведомление о необходимости загрузки и установки файла, якобы содержащего новые шрифты. Уведомление невозможно закрыть, нажав на «Х», поэтому пользователь вынужден разрешить загрузку файла, который на деле является вредоносным ПО. Как подозревают исследователи, под файлом Chrome_Font.exe скрывается рекламное ПО Fleercivet.
«Инфицирование происходит просто: если жертва соответствует установленным критериям - целевая страна, корректный User-Agent (Chrome на компьютерах под управлением Windows) и правильный Referer - на страницу внедряется скрипт, переписывающий скомпрометированный web-сайт в браузере потенциальной жертвы. Текст становится нечитаемым, тем самым создавая для пользователя проблему», - пояснил эксперт Proofpoint, известный как Kafeine.
По словам эксперта, злоумышленники отошли от практики использования эксплоит-паков для доставки вредоносов и сейчас изобретают новые стратегии, в том числе с применением методов социальной инженерии. Так же как в случаях с другими угрозами, преступники эксплуатируют человеческий фактор, обманом вынуждая пользователей загружать и устанавливать вредоносное ПО.
И мы тоже не спим, чтобы держать вас в курсе всех угроз