Новая вредоносная кампания направлена на пользователей Chrome


google chromeСпециалистами Proofpoint была зафиксирована новая вредоносная кампания, направленная на пользователей Chrome для Windows. В ходе такой кампании злоумышленники используют известную цепь компрометации EITest, которая ранее связывалась с атаками с применением различных наборов эксплоитов.

Атаки были зафиксированы в начале декабря 2016 года. Тогда эксперты заметили, что один из сайтов, скомпрометированных EITest, загружает на компьютеры посетителей файл "Chrome_Font.exe".

 

При запуске жертвой браузера Chrome, внедренный на страницу код делал текст не читаемым. При этом на экране отображалось фальшивое уведомление о необходимости загрузки и установки файла, якобы содержащего новые шрифты. Примечательно то, что данное уведомление невозможно закрыть, нажав на "Х". По этой причине пользователь вынужден разрешить загрузку файла, который на деле является вредоносным ПО.

Исследователи предполагают, что под файлом Chrome_Font.exe скрывается рекламное ПО Fleercivet.

Процесс инфицирования происходит по следующему сценарию. Если жертва соответствует установленным критериям:

  • целевая страна;
  • корректный User-Agent (Chrome на компьютерах под управлением Windows);
  • правильный Referer,

то на страницу внедряется скрипт, переписывающий скомпрометированный web-сайт в браузере потенциальной жертвы. Текст становится нечитаемым, тем самым создавая для пользователя проблему.

Эксперты отмечают, что злоумышленники отошли от практики использования эксплоит-паков для доставки вредоносов и сейчас изобретают новые стратегии, при этом все чаще возвращаясь к применению методов социальной инженерии. Так же как в случаях с другими угрозами, преступники эксплуатируют человеческий фактор, обманом вынуждая пользователей загружать и устанавливать вредоносное ПО.


Обновлено (19.01.2017 21:22)