最近浏览某个网站时,是否收到一则弹出消息提示你的Chrome浏览器需要更新才能阅读博客内容?小心了,这是一个圈套。
目前,黑客正在通过这个易让人中招的骗局针对Chrome用户发动攻击。它提示用户下载一个虚假的谷歌Chrome字体包更新,从而诱骗他们安装恶意软件。
欺诈如何发生?
来自安全公司NeoSmart技术的研究人员在浏览一个未具名的WordPress网站时识别出了该恶意活动,该网站声称已被攻陷,原因可能是未及时安装安全更新。而且这次恶意活动并非首次出现,上个月就曾被发现过。
黑客将JavaScript插入到安全性差但合法的网站修改在上面渲染的文本,从而导致网站看上去被包含符号和其它随机字符的文本错误解码。如果用户从搜索引擎或社交媒体网站遇到这类网站,脚本会让网站不可读并让用户更新“Chrome字体包”解决这个问题。但实际上如果用户点击之后,设备就会安装恶意软件木马。
这种欺骗手段也可导致受害者计算机被感染Spora恶意软件。它是运行最好的勒索软件之一,于今年年初被发现,它具有活跃的感染渠道、先进的加密以及先进的勒索金支付服务。
这次的欺骗手段之所以引人注意,是因为关于浏览器信息的所有一切都看起来是合法的,包括会话窗口、Chrome标识等等细节。
如何识别欺诈?
可通过以下方式识别这种欺骗:首先,会话窗口已被硬编码并显示你正在运行Chrome 53版本,即使事实并非如此。从这个细节可发现一些端倪。其次,文件名称也有问题。点击“更新”按钮会下载可执行文件“Chrome Font v7.5.1.exe”。但这个文件并非恶意软件指示图像中显示的“Chrome_Font.exe”。即使你并未识别出这些线索,你在下载这个文件时,可能会得到一个标准的告警信息称“该文档下载频率为‘不经常’”。
Chrome并未标记为恶意软件
然而,奇怪的是Chrome浏览器并未将这个文件标记为恶意软件,但浏览器确实拦截了这个文件,理由是下载频率少,这是一个标准的告警信息。
研究人员随后在VirusTotal上运行了这款恶意软件,结果发现在59种杀毒软件中只有9种能准确识别出这款恶意软件。
因此,建议用户从互联网下载任何东西时都要尤其小心,另外要将杀毒软件更新至最新版本。