Uwaga na nową kampanię „The HoeflerText font wasn’t found” na polskich stronach

dodał 26 lutego 2017 o 13:21 w kategorii Złośniki  z tagami:
Uwaga na nową kampanię „The HoeflerText font wasn’t found” na polskich stronach

Dostajemy sporo zgłoszeń o kolejnej fali ataków na użytkowników Google Chrome na zainfekowanych polskich stronach WWW. Jeśli ktoś da się oszukać przestępcom to niestety skończy z porządnie zaszyfrowanymi plikami na dysku.

Miesiąc temu opisywaliśmy analogiczną kampanię która toczyła się poza Polską i infekowała użytkowników przeglądarki Google Chrome używając sprytnej sztuczki socjotechnicznej. Google Chrome jest bardzo bezpieczną przeglądarką, dlatego przestępcy, zamiast próbować przełamać jej zabezpieczenia, używają metod wywierania wpływu na użytkownika. Metody te niestety bywają skuteczne, dlatego ostrzeżcie swoich znajomych i rodzinę.

Sprytna sztuczka przestępców

Jak przekonać użytkownika, by pobrał z sieci i zainstalował na swoim komputerze złośliwe oprogramowanie? W wielu przypadkach wystarczy go poprosić. Po odnalezieniu strony WWW podatnej na infekcję (najczęściej na skutek zaniedbań administratorów) przestępcy umieszczają w niej swój złośliwy kawałek kodu. Program przestępców następnie modyfikuje wygląd strony, by wyglądała na uszkodzoną i wyświetla komunikat o konieczności zainstalowania odpowiedniej, rzekomo brakującej czcionki. Wygląda to tak:

Powyższy zrzut ekranu wykonaliśmy godzinę temu na stronie WWW poważnej konferencji poświęconej bezpieczeństwu, odbywającej się już w kwietniu w Warszawie (zgłosiliśmy organizatorom, strona została chwilowo zamknięta i ma wrócić pierwszego marca). Jak widzicie, kod przestępców podmienia znaki na stronie by stworzyć pretekst do zainstalowania rzekomej brakującej czcionki. Ze zgłoszeń, jakie otrzymujemy od Czytelników, wynika, że niestety osoby o mniejszym doświadczeniu ulegają sugestii i instalują rzekomą „czcionkę”. Zamiast poprawnie działającej strony otrzymują jednak w prezencie ransomware Spora, które szyfruje pliki na dysku komputera – i niestety robi to dość skutecznie (jak do tej pory nie odnaleziono sposobu ich odzyskania). Przykładowe zgłoszenia od Czytelników wyglądają tak:

lub tak:

Aby zostać celem infekcji trzeba wejść na zarażającą stronę przez wyszukiwanie z Google (w analizowanych przez nas przypadkach bezpośrednie wizyty nie powodowały próby infekcji) i posługiwać się przeglądarką Chrome w systemie Windows (lub przynajmniej tak się przedstawić). Osobom z mniejszym doświadczeniem nie polecamy jednak samodzielnych eksperymentów – chyba że w przeznaczonej do tego celu wirtualnej maszynie.

Podsumowanie

Niestety musimy pamiętać o tym, że nawet całkiem rozsądne osoby, nie mające doświadczenia w obszarze bezpieczeństwa informacji, dają się czasami zmanipulować przestępcom. Warto je zatem ostrzec zanim stracą swoje dane (a przy okazji zachęcić do robienia kopii bezpieczeństwa – i odłączania dysku po skopiowaniu danych).