Пользователей Google Chrome и Mozilla Firefox атакует зловред, который использует поддельные сообщения об отсутствующем шрифте HoeflerText. Всплывающее окно содержит вредоносный код JavaScript, запускающий загрузку на компьютер либо утилиты удаленного администрирования NetSupport Manager, либо шифровальщика Locky.

Вредоносную кампанию обнаружил Брэд Дункан, который опубликовал свое расследование в блогах SANS Internet Storm Center и Palo Alto NetworksUnit 42. По его словам, последние атаки связаны с аналогичными вредоносным кампаниями, получившими название EITest, которые происходили в декабре 2016 года.

В обоих случаях жертву заманивают на сайт-ловушку, который генерирует фиктивное всплывающее сообщение о неправильном отображении сайта. В качестве причины указывается отсутствие шрифта «HoeflerText».

В сообщении предлагается исправить эту ошибку. В уведомлении есть кнопка «Обновить». После ее нажатия происходит загрузка файла JavaScript с названием Win.JSFontlib09.js, который предназначен для загрузки и установки вымогателя Locky.

В другом случае, по его словам, по нажатию кнопки скачивается Font Chrome.exe. По информации от исследователей зловреда, этот файл при запуске загружает вредоносные программы, которые устанавливают приложение для удаленного администрирования NetSupport Manager.

«Это важная деталь, так как указывает на изменение мотивов злоумышленников,» — пишет Дункан. «Пока непонятно, по какой причине зловред теперь загружает RAT вместо шифровальщика-вымогателя, как это было ранее. Вымогатели все еще являются серьезной угрозой и составляют самую значительную категорию зловредов, распространяемых в ходе массовых атак».

Он предполагает, что утилиты удаленного доступа становятся популярнее у злоумышленников так как предоставляют им больше возможностей на зараженных компьютерах и более гибки, чем вымогатели, преследующие только одну цель.

Для привлечения трафика к таким вредоносным веб-сайтам организуются массовые рассылки спама. По словам Дункана, в замеченных им спам-кампаниях использовались ссылки на поддельные страницы Dropbox. «Если вы откроете такую страницу в Chrome или Firefox, то вы получите уведомление об отсутствующем в системе шрифте HoeflerText. В таких уведомлениях присутствует кнопка «Обновить», которая загружает вредоносный файл JavaScript (.js)».

Дункан написал, что при использовании Internet Explorer или Microsoft Edge на сайтах-ловушках окно HoeflerText не появляется. Вместо этого пользователи Internet Explorer получают сообщение якобы от антивируса, в котором содержится номер телефона для связи с подставной технической поддержкой.

Согласно данным исследования, электронные письма рассылались через ботнет с IP-адресов по всему миру, в качестве адреса отправителя указывался ящик no-reply@dropbox.com. В теме письма было написано примерно следующее: «Подтвердите свой адрес электронной почты». В самом сообщении говорилось, что «Мы должны подтвердить ваш email для завершения регистрации». Кнопка подтверждения содержала ссылку на вредоносный сайт, запускающий всплывающие окна, описанные выше.

«Пользователям следует иметь в виду эту угрозу. Будьте осторожны со всплывающими сообщениями в Google Chrome, которые предлагают установить HoeflerText. В случае заражения на ваш компьютер будет установлена программа удаленного администрирования, так что вы не заметите ничего ненормального в его работе. Если вы обнаружите на компьютере приложение NetSupport Manager, это, скорее всего, связано с тем, что ваш компьютер был заражен,» — пишет Дункан.

Категории: Главное, Кибероборона