Phần mềm độc hại giả mạo cài đặt “phông chữ bị thiếu” trong Google Chrome

15:16 | 14/03/2017 | LỖ HỔNG ATTT

Tin tặc đang tấn công người dùng Google Chrome bằng một phần mềm độc hại mới: giả mạo cài đặt “phông chữ bị thiếu” trong Google Chrome và lừa người dùng cài đặt phần mềm độc hại này.

Nhà nghiên cứu bảo mật Mahmoud Al-Qudsi đã phát hiện một mã độc “drive-by-infection” (nhiễm độc do duyệt trang web) trên một trang WordPress. Mã độc này là một phần mềm giả mạo, sử dụng JavaScript để thay đổi cách thức văn bản được hiển thị trên trang web, sau đó đề nghị người dùng tải về bản sửa lỗi.

Phần mềm độc hại giả mạo cài đặt “phông chữ bị thiếu” trong Google Chrome

Al-Qudsi cho biết: Cuộc tấn công này đã đánh lừa người dùng vì trông nó khá đáng tin cậy: văn bản không hiển thị được, thông báo là do phông chữ bị thiếu và nhắc người dùng tải về, cài đặt bản sửa lỗi.

Màn hình hiển thị một cảnh báo trông khá hợp lý, được thiết kế bởi các tin tặc. Cảnh báo giả mạo này viết rằng: “Trang web bạn đang cố gắng tải chưa được hiển thị đúng vì sử dụng phông chữ Hoefler Text. Để khắc phục lỗi này và hiển thị được văn bản, bạn phải cập nhật Chrome Font Pack (Bộ Phông chữ của Chrome)”.

Bằng cách nhấp chuột vào nút “Cập nhật” màu xanh dương, chính xác như màu của Chrome, một tập tin có tên “Chrome Font v7.5.1.exe” được tải về và trang web cũng thay đổi theo để “giúp” người sử dụng chạy virus này.

Tập tin này không bị Windows Defender hay Chrome phát hiện là virus. Chỉ có 9/59 chương trình chống virus phát hiện tập tin này là nguy hiểm. VirusTotal tiết lộ rằng nếu bị nhiễm, mã độc này sẽ thăm dò các tập tin, tài liệu và có thể được sử dụng để theo dõi các tập tin quan trọng trong hệ thống Windows.

Trong khi Chrome không nhận định tập tin này là độc hại, nhưng nó vẫn bị chặn bằng cảnh báo “Tập tin này không thường xuyên được tải về”.

Tod Beardsley, Giám đốc nghiên cứu tại Rapid7 – đã nhận xét: “Hiện tại, các cuộc tấn công như thế này vẫn xuất hiện khá hạn chế trên các trang WordPress. Tuy nhiên, WordPress lại là nơi thu hút rất nhiều nạn nhân cho tin tặc”.

Người dùng Chrome nên chú ý rằng, các cảnh báo hợp pháp từ trình duyệt Chrome sẽ không bao giờ xuất hiện dưới dạng một phần của trang web. Cụ thể, Chrome không cung cấp bất kỳ chức năng nào để cài đặt phông chữ bị thiếu và tất cả lời nhắc cài đặt như vậy đều xuất phát từ các chiến dịch phần mềm hoặc quảng cáo độc hại.

Tuy nhiên, trong một số trường hợp ít gặp, trình duyệt vẫn cần thông tin cảnh báo về bảo mật hoặc cấu hình sai với người sử dụng. Những cảnh báo này sẽ xuất hiện dưới dạng một trang thay thế đầy đủ khác, như trang cảnh báo quen thuộc “Kết nối của bạn không được bảo mật” về các chứng chỉ SSL bị cấu hình sai.

‹ › ×

Tin liên quan

Cách quét mã độc trên máy tính với Google Chrome

09:00 | 05/06/2018

Với định hướng tập trung vào việc nâng cấp các tính năng bảo mật và phòng chống các phần mềm độc hại như malware, trojan, virus… tới nay, người dùng có thể sử dụng trình duyệt Chrome để quét mã độc trên toàn bộ máy tính.

Tin cùng chuyên mục

Phân tích kỹ thuật tấn công mới của nhóm tin tặc Awaken Likho

14:00 | 28/10/2024

Nhóm tin tặc Awaken Likho hay còn được gọi với cái tên Core Werewolf đã quay trở lại và tiếp tục nhắm mục tiêu vào các cơ quan chính phủ, doanh nghiệp lớn. Bài viết này sẽ tiến hành phân tích kỹ thuật tấn công của nhóm dựa trên công bố của hãng bảo mật Kaspersky.

Lỗ hổng mới của GitLab có thể cho phép thực thi CI/CD Pipeline tùy ý

10:00 | 18/10/2024

GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.

Hệ thống sinh trắc học ZKTeco có thể bị tấn công bởi 24 lỗ hổng bảo mật nghiêm trọng

14:00 | 05/07/2024

Một phân tích về hệ thống truy cập sinh trắc học lai (hybrid) của nhà sản xuất Trung Quốc ZKTeco đã phát hiện ra 24 lỗ hổng bảo mật có thể bị kẻ tấn công lạm dụng để vượt qua xác thực, đánh cắp dữ liệu sinh trắc học và thậm chí triển khai các backdoor độc hại.

Phát hiện lỗ hổng trên bộ định tuyến TP-Link Gaming khiến người dùng có thể bị tấn công bằng mã từ xa

12:00 | 19/06/2024

Một lỗ hổng bảo mật ở mức điểm nghiêm trọng tối đa đã được phát hiện trong bộ định tuyến TP-Link Archer C5400X gaming có thể dẫn đến việc thực thi mã từ xa trên các thiết bị bằng cách gửi các yêu cầu độc hại.