Nový Malware útočí na Chrome a chová se pozoruhodně důvěryhodně
19.1.2017, Jan Vítek, aktualita
Uživatele prohlížeče Google Chrome na Windows ohrožuje nový Malware, který stále využívá exploit EITest, jenž už vedl u řady lidí ke krádeži identity, vydírání pomocí ransomware a jiným nemilým věcem. Zkouší to přitom zajímavým způsobem.
Na nový malware upozornili bezpečnostní výzkumníci z Proofpoint, kteří také popsali, jak funguje. Malware po detekci našeho prohlížeče a zjištění, že používáme Chrome, do kódu stránky vloží kousek vlastního kódu, takže ta nezobrazí upozornění, ale nečitelné znaky v pozadí. V popředí se pak objeví okno s informací, že nebyl nalezen potřebný font a je třeba jej tlačítkem Update doinstalovat, přičemž toto okno nejde křížkem v rohu zavřít. Zde už může zkušenější uživatel zbystřit, že něco asi nebude úplně v pořádku, ovšem jiní akceptují soubor .exe zdánlivě nabízený samotnou společností Google, spustí jej a neštěstí je na světě.
K dispozici je animace, která ukazuje zrovna tento případ, ale jde o 2MB .gif, takže na ni zde pouze odkážu. Ukazuje stránky nalezené přímo vyhledávačem Google, které nebohé oběti ukáží, že jí v počítači chybí jistý font HoeflerText, který si mají ihned stáhnout. Popup se přitom snaží vypadat důvěryhodně, a to svou zvolenou grafikou, ovšem nabídne ke stažení soubor Chrome_Font.exe, který ukrývá malware známý jako Fleercivet.
Zaměřováni jsou přitom ne hromadně všichni uživatelé, ale ti z předem zvolených zemí (což našinci dává velkou možnost, že se mu útok vyhne) a také je třeba mít tu "správnou" verzi prohlížeče Chrome. Kompromitována je pak samotná webová stránka, která zobrazí nastraženou chybovou hlášku a namísto upozornění na malware jsou zobrazeny kosočtvercové znaky s otazníky. Využívá se k tomu exploit EITest, který infikoval mnohé webové stránky s využitím známých slabin WordPressu a Joomly. Nyní je tu nová strategie útočníků, kteří si začali své oběti vybírat na základě zvolených kritérií, čímž jsou útoky méně plošné, ale o to nebezpečnější pro lidi, na něž se opravdu zaměří. Stále jde ale o formu phishingu, i když sofistikovanější, která vyžaduje po oběti, aby si sama stáhla a spustila daný soubor.
Zdroj: Proofpoint
K dispozici je animace, která ukazuje zrovna tento případ, ale jde o 2MB .gif, takže na ni zde pouze odkážu. Ukazuje stránky nalezené přímo vyhledávačem Google, které nebohé oběti ukáží, že jí v počítači chybí jistý font HoeflerText, který si mají ihned stáhnout. Popup se přitom snaží vypadat důvěryhodně, a to svou zvolenou grafikou, ovšem nabídne ke stažení soubor Chrome_Font.exe, který ukrývá malware známý jako Fleercivet.
Zaměřováni jsou přitom ne hromadně všichni uživatelé, ale ti z předem zvolených zemí (což našinci dává velkou možnost, že se mu útok vyhne) a také je třeba mít tu "správnou" verzi prohlížeče Chrome. Kompromitována je pak samotná webová stránka, která zobrazí nastraženou chybovou hlášku a namísto upozornění na malware jsou zobrazeny kosočtvercové znaky s otazníky. Využívá se k tomu exploit EITest, který infikoval mnohé webové stránky s využitím známých slabin WordPressu a Joomly. Nyní je tu nová strategie útočníků, kteří si začali své oběti vybírat na základě zvolených kritérií, čímž jsou útoky méně plošné, ale o to nebezpečnější pro lidi, na něž se opravdu zaměří. Stále jde ale o formu phishingu, i když sofistikovanější, která vyžaduje po oběti, aby si sama stáhla a spustila daný soubor.
Zdroj: Proofpoint