Пользователям Chrome стоит опасаться сообщений «шрифт не найден»

Специалисты компании Proofpoint предостерегают пользователей Windows и браузера Chrome: хакеры придумали новый трюк и теперь маскируют свои атаки под загрузку дополнительного пакета шрифтов.


Исследователи пишут, что атакующие полагаются на достаточно простую технику, они компрометируют различные сайты и добавляют в их код скрипты собственного производства. Эти скрипты фильтруют входящий трафик, а также загружают еще один вредоносный скрипт, который опасен только для Windows-версии Chrome. Этот скрипт, в свою очередь, отвечает за подмену всех HTML-тегов на странице на «& # 0», в результате чего контент портится и превращается во множество символов «�». Как правило, сайты выглядят таким образом, если возникают проблемы со шрифтами и рендерингом символов.


Поверх страницы, которая становится нечитаемой из-за действий скрипта, атакующие выводят всплывающее окно, которое сообщает жертве, что на ее компьютере не хватает некоего специфического шрифта, и для нормальной работы ресурса шрифт необходимо скачать и установить. Закрыть это окно, нажав на крестик в углу, не получится.

Пользователям Chrome стоит опасаться сообщений «шрифт не найден» Вирус, Загрузка, Шрифт, Windows, Google Chrome, Маскировка, Длиннопост

Согласно данным специалистов Proofpoint, эта кампания использует известную цепочку заражений EITest, впервые задокументированную еще в 2014 году. Тогда EITest прочно ассоциировалась с атаками различных эксплоит-китов (к примеру, Angler и Neutrino), которые заражали пользователей шифровальщиками, вредоносами для похищения данных и прочей малварью. Операторы EITest использовали простую тактику, очень похожу на описанную выше: они компрометировали большое количество сайтов, эксплуатируя известные уязвимости (преимущественно жертвами становились ресурсы, работающие под управлением WordPress и Joomla). Затем злоумышленники перенаправляли небольшую часть трафика с зараженных ресурсов на вредоносные страницы, подвергая пользователей атакам эксплоит-китов и заражая их вирусами.

Упрощенное (sic!) изображение экосистемы EITest
Пользователям Chrome стоит опасаться сообщений «шрифт не найден» Вирус, Загрузка, Шрифт, Windows, Google Chrome, Маскировка, Длиннопост

При этом злоумышленники всегда действовали выборочно, отбирая пользователей, подходящих под те или иные критерии. Новая вредоносная кампания тоже опасна только для пользователей из определенных стран (каких именно, эксперты не сообщают), использующих Chrome и Windows.


По мнению аналитиков Proofpoint, техника «шрифт не найден» имеет самое прямое отношение к EITest, невзирая на тот факт, что в данном случае пользователь должен сам нажать на кнопку «Обновить» (наборы эксплоитов, с которыми «сотрудничали» EITest, как правило, атаковали жертв автоматически, не требуя никакого взаимодействия с пользователем). Эксперты считают, что теперь злоумышленники нарочно применяют элементы социальной инженерии, в поисках новых стратегий.



Исследователи сообщают, что пока новая вредоносная кампания распространяет крик-фрод вредоноса Fleercivet, который за спиной пользователя скликивает рекламу, принося деньги своим владельцам.

Источники:

https://www.proofpoint.com/us/threat-insight/post/EITest-Nab...

https://xakep.ru/2017/01/20/font-wasnt-found/

EITest:

https://blog.sucuri.net/2014/10/wordpress-websites-continue-...

https://blog.malwarebytes.com/exploits-2/2015/03/nuclear-ek-...

Информационная безопасность IT

1.4K постов25.5K подписчик

Добавить пост

Правила сообщества

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.


Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.

54
Автор поста оценил этот комментарий

2017 год ... люди продолжают с левых сайтов устанавливать предложенное ...

раскрыть ветку
5
Автор поста оценил этот комментарий

Вау, может еще не стоит "Обновлять браузер для просмотра видео" или "Скачать флеш плеер"?

5
Автор поста оценил этот комментарий

Инфографика шикарная.

раскрыть ветку
3
Автор поста оценил этот комментарий
То чувство когда у тебя опера и с ней ты на фиг никому не нужен)))
раскрыть ветку
3
Автор поста оценил этот комментарий
преимущественно жертвами становились ресурсы, работающие под управлением WordPress и Joomla

Так им и надо!

раскрыть ветку