透過殭屍網路散佈的惡意垃圾訊息,使用者不察下點進連結,將進入一個偽造的Dropbox網頁,如果是Firefox、Chrome用戶將跳出「找不到Hoefler Text字型」的訊息要求更新,實際則是下載惡意程式或勒索軟體。

圖片來源: 

Brad Duncan

資安研究人員Brad Duncan警告,最近有一個惡意程式活動在使用者造訪惡意網站時,會在瀏覽器中跳出「找不到Hoefler Text字型」( The ‘HoeflerText’ font wasn’t found)的提醒視窗,並誘導使用者更新,不過更新後帶來的可能是 NetSupport Manager遠端存取工具(RAT)或Locky勒索軟體,此一惡意活動同時波及Chrome與Firefox瀏覽器。

Duncan表示,他在過去兩周以來看到大量基於殭屍網路的惡意垃圾訊息,幾乎每天都發動攻擊,這些訊息連結到假冒的Dropbox網頁,當以Chrome或Firefox造訪時,就會跳出一個提醒視窗,宣稱找不到HoeflerText字型,若使用者按下更新鍵,即會下載一個偽裝成字型的JavaScript檔案,但該檔案其實是用來下載及安裝其他惡意程式。

這個惡意活動被稱為EITest,從去年底就展開,都是透過HoeflerText視窗來散布惡意程式,只不過這半年多來主要散布的惡意程式都是以勒索軟體為主,包括Spora、Mole或Locky等,但最近Duncan發現駭客以NetSupport Manager遠端存取工具取代勒索軟體,顯示駭客的動機改變了。

Duncan說,雖然說勒索軟體仍是個嚴重的威脅,但RAT將讓駭客在主機上擁有更多的能力,也比單一目的的惡意程式更具彈性。

此一利用「找不到HoeflerText字型」為媒介的惡意活動只影響Chrome及Firefox瀏覽器,並未波及微軟的IE或Microsoft Edge。


Advertisement

更多 iThome相關內容