WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Chiến dịch phát tán malware mới nhắm vào người dùng Chrome
Các nhà nghiên cứu vừa quan sát thấy một chiến dịch phát tán mã độc nhắm mục tiêu cụ thể vào người sử dụng trình duyệt Chrome trên máy tính Windows.
Chiến dịch này nằm trong chiến dịch EITest (chiến dịch lây nhiễm mã độc nổi tiếng). Được ghi nhận lần đầu tiên năm 2014, EITest đã có nhiều thay đổi, và chuyển sang các cuộc tấn công có mục tiêu hơn thay vì dựa vào các bộ khai thác.
Cuộc tấn công mới được quan sát lần đầu trong tháng 12, khi một trang web bị lây nhiễm cho phép tải tập tin "Chrome_Font.exe" vào máy tính của khách truy cập. Theo Proofpoint, trang web đã bị nhiễm EITest và tải tập tin chỉ sau khi một loạt cơ chế lọc được kích hoạt.
Cuộc tấn công nhắm mục tiêu cụ thể vào người dùng Chrome trên Windows. Ngay sau khi khách truy cập được xác định sử dụng trình duyệt này, mã độc trong trang sẽ khiến cho nội dung của trang không đọc được và hiển thị một cảnh báo giả mạo, giục người sử dụng tải về và cài đặt một tập tin được cho là chứa font chữ mới.
"Việc lây nhiễm rất dễ hiểu: nếu nạn nhân đáp ứng các tiêu chí – về quốc gia, sử dụng Chrome trên Windows – script sẽ được chèn vào trong trang và viết lại trang web bị tổn hại trên trình duyệt của nạn nhân tiềm năng để làm cho nội dung trang không đọc được, tạo ra vấn đề giả cho người sử dụng giải quyết”, nhà nghiên cứu Kafeine của Proofpoint giải thích.
Tuy nhiên, trang web sẽ cố lây nhiễm cả người sử dụng Internet Explorer. Miễn là họ đáp ứng các tiêu chí cụ thể, họ sẽ có nguy cơ trước một cuộc tấn công "cổ điển" hơn.
Cuộc tấn công vào người dùng Chrome dựa trên việc lưu trữ tất cả các dữ liệu giữa các thẻ HTML trong một mảng, sau đó thay thế chúng bằng "& # 0". Vì đây không phải là một đặc điểm ISO thích hợp, trình duyệt sẽ hiển thị � thay thế.
Cảnh báo giả hiển thị trong trình duyệt sẽ nhắc người dùng cài đặt một gói font chữ cập nhật để xem nội dung của trang. Nạn nhân được cho biết font cụ thể ("HoeflerText", trong ví dụ của Proofpoint) không được tìm thấy, và người dùng nên cài đặt bản cập nhật ngay lập tức. Cảnh báo giả không thể được đóng lại bằng nút "x" và mã độc được thực thi khi người dùng chấp nhận việc cập nhật.
Proofpoint cho rằng chiến dịch được phát động vào ngày 10/12/2016 và tập tin "Chrome_Font.exe" mà người dùng bị lừa để cài đặt thực tế là mã độc quảng cáo gian lận được biết đến là Fleercivet.
Chiến dịch này nằm trong chiến dịch EITest (chiến dịch lây nhiễm mã độc nổi tiếng). Được ghi nhận lần đầu tiên năm 2014, EITest đã có nhiều thay đổi, và chuyển sang các cuộc tấn công có mục tiêu hơn thay vì dựa vào các bộ khai thác.
Cuộc tấn công mới được quan sát lần đầu trong tháng 12, khi một trang web bị lây nhiễm cho phép tải tập tin "Chrome_Font.exe" vào máy tính của khách truy cập. Theo Proofpoint, trang web đã bị nhiễm EITest và tải tập tin chỉ sau khi một loạt cơ chế lọc được kích hoạt.
Cuộc tấn công nhắm mục tiêu cụ thể vào người dùng Chrome trên Windows. Ngay sau khi khách truy cập được xác định sử dụng trình duyệt này, mã độc trong trang sẽ khiến cho nội dung của trang không đọc được và hiển thị một cảnh báo giả mạo, giục người sử dụng tải về và cài đặt một tập tin được cho là chứa font chữ mới.
"Việc lây nhiễm rất dễ hiểu: nếu nạn nhân đáp ứng các tiêu chí – về quốc gia, sử dụng Chrome trên Windows – script sẽ được chèn vào trong trang và viết lại trang web bị tổn hại trên trình duyệt của nạn nhân tiềm năng để làm cho nội dung trang không đọc được, tạo ra vấn đề giả cho người sử dụng giải quyết”, nhà nghiên cứu Kafeine của Proofpoint giải thích.
Tuy nhiên, trang web sẽ cố lây nhiễm cả người sử dụng Internet Explorer. Miễn là họ đáp ứng các tiêu chí cụ thể, họ sẽ có nguy cơ trước một cuộc tấn công "cổ điển" hơn.
Cuộc tấn công vào người dùng Chrome dựa trên việc lưu trữ tất cả các dữ liệu giữa các thẻ HTML trong một mảng, sau đó thay thế chúng bằng "& # 0". Vì đây không phải là một đặc điểm ISO thích hợp, trình duyệt sẽ hiển thị � thay thế.
Cảnh báo giả hiển thị trong trình duyệt sẽ nhắc người dùng cài đặt một gói font chữ cập nhật để xem nội dung của trang. Nạn nhân được cho biết font cụ thể ("HoeflerText", trong ví dụ của Proofpoint) không được tìm thấy, và người dùng nên cài đặt bản cập nhật ngay lập tức. Cảnh báo giả không thể được đóng lại bằng nút "x" và mã độc được thực thi khi người dùng chấp nhận việc cập nhật.
Proofpoint cho rằng chiến dịch được phát động vào ngày 10/12/2016 và tập tin "Chrome_Font.exe" mà người dùng bị lừa để cài đặt thực tế là mã độc quảng cáo gian lận được biết đến là Fleercivet.
Theo SecurityWeek
Chỉnh sửa lần cuối bởi người điều hành: