Chrome與Firefox瀏覽器被駭客盯上 小心假警告真入侵!

擁有20億用戶的Google Chrome是當今使用的人最多的瀏覽器。而Firefox用戶也超過10億,使得這兩個瀏覽器成為駭客和網路犯罪者眼中的大肥羊。

最近IT安全研究人員Brad Duncan發現一個稱為EITest的攻擊行動誘騙Windows版Chrome用戶下載RAT惡意程式。

EITest是於2016年首度被發現,當時攻擊者在受害的WordPress網站上跳出視窗誘騙使用者下載假的Google Chrome遺失字型,實際則是以Mole和Spora等勒索軟體感染用戶電腦。但從2017年8月以來,攻擊手法有了演進,它改瞄準分散式NetSupport Manager遠端取工具(remote access tool, RAT)。

最新一波攻擊中,惡意程式還是透過被網站、偽裝手法散佈,且當受害者想修改文字時,電腦就會被植入惡意軟體。

一旦使用者造訪被駭網站時,網站會跳出一個訊息,表示這個網站只能使用Hoefler Text字型讀取,但使用者可以按下「更新」鍵來下載。以下截圖顯示該視窗的內容:「找不到Hoefler Text字型,因此您試圖載入的網頁無法正確顯示。要修復錯誤、顯示文字,您必須更新Chrome字型套件包。」

一旦用戶點擊了「更新」鍵,一個名為Chrome_Font.exe的檔案就會下載到他的電腦上,並安裝NetSupport Manager遠端存取工具(remote access tool, RAT),這是一個可公開下載的軟體,去年10月也曾被用來駭客Steam遊戲帳號。

受害劇本分成兩種情境。微軟IE用戶會看到假的防護警示訊息以及假的技術支援電腦。而使用Google Chrome的人就會看到Hoefler Text提醒訊息,誘騙使用者下載偽造成Font_chrome.exe的惡意程式,Duncan說。

Duncan另外還發現這個攻擊行動透過電子郵件散佈,但是是冒充Dropbox網站,而目標則是Firefox用戶。歹徒散佈網釣郵件給不知名使用者,騙他們點入聲稱是連向Dropbox的連結,需要以電子郵件驗證。但事實上點下去後使用者會被導引到一個被駭的俄羅斯網站。

然後用戶也會看到類似的Hoefler Text字型下載提示訊息。同樣的,點入更新鍵後,用戶電腦即載入Win.JSFontlib09.js的JavaScript檔,該檔案會下載安裝Locky 勒索軟體變種,叫做Lukitus。

Locky被公認為最危險的勒索軟體之一,曾感染過健康照護業者及法律事務所。幾天前,Locky變種也曾透過2,300多萬封有趣的電子郵件感染美國用戶。

如果您使用的是Chrome、Firefox或其他同類型瀏覽器,請小心不要隨意開啟來路不明的電子郵件、點選連結,下載不明的附件。同時也要知道不需更新Chrome或Firefox字型套件包,因為根本沒有任何證實有問題的官方消息。

Source and photo credit: Hackread

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416