Chrome 與 Firefox 瀏覽器被駭客盯上 小心假警告真入侵!
最近 IT 安全研究人員 Brad Duncan 發現一個稱為 EITest 的攻擊行動誘騙 Windows 版 Chrome 用戶下載 RAT 惡意程式。
EITest 是於 2016 年首度被發現,當時攻擊者在受害的 WordPress 網站上跳出視窗誘騙使用者下載假的 Google Chrome 遺失字型,實際則是以 Mole 和 Spora 等勒索軟體感染用戶電腦。但從 2017 年 8 月以來,攻擊手法有了演進,它改瞄準分散式 NetSupport Manager 遠端取工具 (remote access tool, RAT)。
最新一波攻擊中,惡意程式還是透過被網站、偽裝手法散佈,且當受害者想修改文字時,電腦就會被植入惡意軟體。
一旦使用者造訪被駭網站時,網站會跳出一個訊息,表示這個網站只能使用 Hoefler Text 字型讀取,但使用者可以按下「更新」鍵來下載。以下截圖顯示該視窗的內容:「找不到 Hoefler Text 字型,因此您試圖載入的網頁無法正確顯示。要修復錯誤、顯示文字,您必須更新 Chrome 字型套件包。」
一旦用戶點擊了「更新」鍵,一個名為 Chrome_Font.exe 的檔案就會下載到他的電腦上,並安裝 NetSupport Manager 遠端存取工具 (remote access tool, RAT),這是一個可公開下載的軟體,去年 10 月也曾被用來駭客 Steam 遊戲帳號。
受害劇本分成兩種情境。微軟 IE 用戶會看到假的防護警示訊息以及假的技術支援電腦。而使用 Google Chrome 的人就會看到 Hoefler Text 提醒訊息,誘騙使用者下載偽造成 Font_chrome.exe 的惡意程式,Duncan 說。
Duncan 另外還發現這個攻擊行動透過電子郵件散佈,但是是冒充 Dropbox 網站,而目標則是 Firefox 用戶。歹徒散佈網釣郵件給不知名使用者,騙他們點入聲稱是連向 Dropbox 的連結,需要以電子郵件驗證。但事實上點下去後使用者會被導引到一個被駭的俄羅斯網站。
然後用戶也會看到類似的 Hoefler Text 字型下載提示訊息。同樣的,點入更新鍵後,用戶電腦即載入 Win.JSFontlib09.js 的 JavaScript 檔,該檔案會下載安裝 Locky 勒索軟體變種,叫做 Lukitus。
Locky 被公認為最危險的勒索軟體之一,曾感染過健康照護業者及法律事務所。幾天前,Locky 變種也曾透過 2,300 多萬封有趣的電子郵件感染美國用戶。
如果您使用的是 Chrome、Firefox 或其他同類型瀏覽器,請小心不要隨意開啟來路不明的電子郵件、點選連結,下載不明的附件。同時也要知道不需更新 Chrome 或 Firefox 字型套件包,因為根本沒有任何證實有問題的官方消息。
