Рансъмуерът Spora се маскира като фалшива актуализация на Chrome Font Pack

Не е изненада, че кибер престъпниците манифестират своята креативност като използват различни функции, услуги, мрежи и браузъри на Windows и Mac за своите злодеяния. Сега е дошъл ред и на Chrome. IT специалистът, Брад Дънкан (Brad Duncan), е засякъл рансъмуера Spora, който получава печална известност в кибер средите, като се опитва да се промъкне в устройствата на потребителите чрез фалшива актуализация на Chrome Font Pack. Цялата техника е доста сложна, както и самата заплаха Spora. Браузърът Chrome е един от най-популярните браузъри използван по цял свят, което предполага,че авторите на този криптиращ зловреден софтуер се целят доста нависоко. Поради обхвата на кибер кампанията, самата заплаха доста наподобява Locky вируса. И така идва и основната дилема: възможно ли е да избегнем тази кибер беда?

Експлоатационните инструменти (exploit kits) добиват все повече популярност между създателите на рансъмуер. За разлика от спам имейлите, които дават все по-малки шансове за успех, този метод е по-трудно откриваем и осигурява повече гъвкавост. За щастие, зоркото око на изследователя на вируси е успяло да забележи вируса под прикритие. Рансъмуерът Spora използва EITattack за да инициира процеса на проникване. Кибер злодеите избират слабо защитени домейни, в които да „посеят“ зловредния javascript код. В следствие на това, тези уеб страници стават нечетими, тъй като започват да показват стрингове програмен код. За да премахнете това неудобство, хакерите ви предлагат да инсталирате “Chrome Font Pack.” Потребителите биват пренасочени към друг домейн, който твърди, че определен шрифт не е открит HoeflerText font wasn’t found. След като се появи изскачащ прозорец, от жертвата се очаква да разреши инсталацията на файла update.exe. Няма нужда да казваме, че всички тези съобщения са представени с външен вид, който много наподобява изскачащите известия на Chrome.

За щастие, дори да се случи да посетите такъв компрометиран уеб сайт, може ръчно да отмените тези съобщения и така да избегнете атаката. Интересно е, че рансъмуерът Spora, който всъщност може да бъде Cerber рансъмуера под прикритие, използва същата EITest техника като вируса CryptoShield 1.0 – най-новата версия на CryptoMix. Има много спекулации дали създателите на Locky и Cerber са обединили силите си и същата банда стои и зад тези атаки. Легитимните уеб страници стават все по-предпочитани инструменти за хакерите. Последната година уеб страницата на популярен китайски ресторант предлагаше рансъмуер вместо обичайното меню. Тези събития ни напомнят, че личната бдителност играе много важна роля за осигуряването на кибер сигурността. Дори да имате няколко много рейтингови приложения за сигурност, може да изпитате разрушителните последствия на рансъмуера като просто невнимателно активирате съмнителни браузър разширения или отворите прикачените файлове на фалшиви имейли.

За автора
Julie Splinters
Julie Splinters - Специалист по премахване на зловреден софтуер

Джули Сплинтерс е редактор на новините на Virusi.bg. Има бакалавърска степен по Английска филология, обаче интересът

Свържете се с Julie Splinters
За компанията Esolutions

Прочети на друг език
Файлове
Софтуер
Сравни