这个恶意软件攻击利用假的弹出窗口, 提醒用户丢失的网页字体,显然针对的目标是Google Chrome 和火狐浏览器用户。弹出窗口包含一个恶意的 JavaScript 文件, 启动下载NetSupport 远程控制工具 (RAT) 或 Locky 勒索软件。
这次攻击事件是由Brad Duncan 与 SanS 网络风暴中心和的Palo Alto 42发现的。他说, 与此类似的 恶意软件 活动, 称为 EITest, 可以追溯到2016年12月。
攻击手段是在钓鱼网站中 弹出虚假提示信息
攻击者通过各种手段将受害者被引诱到一个钓鱼网站, 生成一个虚假的弹出消息, 通知用户他们试图查看的网页无法正确显示, 因为浏览器缺少正确的 "HoeflerText" 字体 (见下文)。
然后, 该消息将提示用户修复错误。Duncan 描述
"这些通知还有一个" 更新 "按钮。当你单击它时, 就会收到一个名为 Win.JSFontlib09.js 的 JavaScript 文件。该 JavaScript 文件的目的就是下载和安装 Locky 勒索软件
在另一种情况下, 他说, Chrome HoeflerText 字体更新提供文件 "Font_Chrome. exe" 文件。根据研究人员的数据, 当执行时, 它会检索安装 NetSupport 管理器的后续恶意软件。Duncan 表示,
"这是特征比较重要的, 这表明了这个攻击者的动机可能发生变化,"
"这还没有确定为什么 EITest HoeflerText 弹出窗口会从推勒索软件改为推远程控制软件。
勒索仍然是一个严重的威胁, 我们每天从大规模分发活动中得到的分析结果,勒索软件还是最大的恶意软件类别。
他猜测,可能远程控制又开始流行了, 因为他们能给攻击者带来更多感染 pc的机会,以及比 勒索软件 更为灵活的用途。
这个意外的收获 是从一堆垃圾邮件活动中翻出来的
Duncan表示,
"最近几天, 我注意到每个工作日都有好多起垃圾邮件。 这实在是让人感觉到枯燥。
没曾想,就在这个时候,出现了一股“清流”,从一起垃圾邮件中看到一个链接,攻击者从勒索软件改远程控制了
他说, 恶意的垃圾邮件中有个链接,连接到到假的收件箱页面。
"如果您在 Chrome 或 Firefox 中查看这个页面, 就会收到一个假通知, 说明您没有 HoeflerText 字体。 这些假通知还有一个 "更新" 按钮, 一旦你点击,就会执行一个恶意的 JavaScript (. js) 文件。
Duncan说, 使用 ie 浏览器或微软Edge的就不会触发 HoeflerText 的弹出。更确切地说, "使用微软 ie 浏览器的受害者,会看到一个假的防病毒警报, 然后有一个技术支持的电话号码。
入侵的第一步就是从邮箱注册验证开始的
根据这项研究, 电子邮件是僵尸网络发出的, 其IP地址来自世界各地, 还使用了 no-reply@dropbox. com 的电子邮件地址的收存箱。
垃圾邮件标题一般是 "请验证您的电子邮件地址"。邮件的正文还说, "在您完成注册之前,我们只需要验证您的电子邮件地址",我去,你一点“验证您的电子邮件” 按钮,就会开始弹出 EITest HoeflerText 页面,然后你就遇到了本文开头的骗局。
对于在谷歌 Chrome 弹出的页面: "HoeflerText" 字体未找到,大家千万要警惕这种攻击形式。由于后续下载的可能是远程控制软件, 这意味着你可能不会注意到日常使用电脑的变化,所以请随时注意您的电脑上是否出现了 NetSupport 管理器, 那就可能已经中招儿了。
原文发布时间:2017年9月4日
本文由:threatpost 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/hoeflertext-font-not-found#
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站