安全研究员实现roboto字体包攻击

congtou 2017-9-1 最新资讯 0 1

今天,安全研究员MalwareBreakdown发布了一个新的社会工程或SocEng的攻击,模拟EITest HoeflerText攻击。当用户访问受感染的站点并显示警告,指出没有找到Roboto Condensed字体,并且访问者应该下载并安装字体包才能正确查看站点时执行此攻击。如果用户安装这些字体包中的一个,它们将被木马下载,键盘记录和矿工感染。

Roboto简化字体包如何进行攻击

为了实施这一攻击,攻击者首先攻击合法的网站并对其进行修改,以便将JavaScript代码添加到每个网页。当这个脚本被执行时,它会把网站的文本破坏,使得它看起来像一个字体丢失。然后,JavaScript将在页面上显示一个对话框,提示Roboto Condensed字体丢失,并且您应该下载并安装字体包才能正确查看该站点。

这个脚本在源代码中的一个例子可以在下面看到。

图片1

注入Javascript

当访问者访问这个被黑客入侵的页面时,该脚本将扰乱页面的文本,使其不可读。但是,这个脚本在每个受到破坏的站点上并不能正常工作。例如,在MalwareBreakDown的文章中,该网站正确显示了如下所示的加扰文本。

图片2

加扰网站

来源:https://malwarebreakdown.com

在另一个受到恶意攻击的网站MalwareBreakDown提供了BleepingComputer,该网站没有像预期的那样乱七八糟。

图片3

Unscrambled网站

网站没有正确加扰

如上所述,JavaScript显示一条警告,指出Roboto Condensed字体丢失,然后提示您下载一个字体包。如果您使用的是Chrome,下载将被称为Chrome字体包,如果您使用Mozilla,如下所示,则称为Mozilla Font Pack。

图片4

Mozilla字体包

标题

用户单击“更新”按钮后,脚本将从远程站点下载一个名为chromefp60.exe的文件(如果使用Chrome)或mozillafp60.exe(如果使用Firefox)。点击更新按钮后,警报将更改为有关如何保存可执行文件并进行安装的说明。

图片5

假的Google字体包安装说明

好消息是这个下载的程序不会自动启动,受害者必须手动执行程序才能被感染。攻击者希望通过在网页上加扰文本,并假装是Mozilla和Chrome的一个合法警报,假装成一个缺少的字体,他们可以欺骗人们运行该文件。

Roboto Condensed Font Pack安装Miners,Downloaders和Ursnif

根据MalwareBreakDown,Roboto Condensed Font Pack背后的攻击者正在下载的“更新”安装的不同类型的恶意软件。迄今为止,Monero矿工,Trojan.Downloaders和Ursnif键盘记录器已经被人们发现

虽然这些恶意软件程序在计算机上都不受欢迎,但最具潜在危害的是Ursnif。这是因为Ursnif会在背景中安静地运行,同时录制您键入的任何内容,您访问的网站以及您复制到剪贴板的文字。由于这可能会导致Ursnif偷取敏感信息(如商业秘密,用户名和密码)或财务信息的泄露,这是一个很大的问题。

 

由于攻击者通过这些类型的攻击常规地改变不同的恶意方式,因此在不久的将来会看到ixomware被添加到组合中并不奇怪。

Chrome字体包警报的文字:

没有找到“Roboto Condensed”字体。

您尝试加载的网页显示不正确,因为它使用“Roboto Condensed”字体。要修复错误并显示下一个错误,您必须更新“Chrome字体包”。

制造商:Google Inc.保留所有权利。

当前版本:Chrome Font Pack 54.0.2785.89

最新版本:Chrome Font Pack 60.0.3112.90

Mozilla Font Pack警报的文字:

没有找到“Roboto Condensed”字体。

您尝试加载的网页显示不正确,因为它使用“Roboto Condensed”字体。要修复错误并显示下一个错误,您必须更新“Mozilla Font Pack”。

制造商:Mozilla Corporation。

当前版本:Mozilla Font Pack 53.0.2785.89

最新版本:Mozilla Font Pack 60.0.3112.90

转载请注明来自华盟网,本文标题:《安全研究员实现roboto字体包攻击》

喜欢 (1) 发布评论