A Unit 42, equipe de pesquisa da Palo Alto Networks, identificou uma mudança no comportamento de um grupo de criminosos virtuais visando usuários do navegador Google Chrome com ataques que incluíam engenharia social para distribuir um malware.
Nos últimos meses, a campanha criminosa conhecida como EITest estava fazendo a distribuição de ransomwares como o Spora e o Mole, mas no final de agosto o modo de operação foi alterado para outro tipo de ameaça. Se as amostras recentes servirem de indicativo, houve a infecção de servidores Windows com NetSupport Manager, ferramenta de acesso remoto.
A equipe da Unit 42 fez uma análise utilizando "HoeflerText popups", uma técnica para ludibriar as vítimas a instalar malware em suas máquinas, para compreender como os agentes por trás do ElTest estão operando. Os resultados mostraram que o grupo invade páginas selecionadas por meio de engenharia social, na qual é feita uma pesquisa dos costumes da vítima, incluindo aqui os sites que visita, quando e por qual navegador. Ao entrar em um website comprometido, o alvo do ataque recebe uma mensagem como a mostrada na figura mais abaixo.
Após clicar em "update", outra mensagem aparece direcionando a vítima para o download do arquivo "Font_Chrome.exe", sendo este o malware para tomar controle da máquina.
Histórico e atividade recente
Em dezembro de 2016, a campanha ElTest começou a usar pop-ups HoeflerText para distribuir malwares, e desde o final de janeiro deste ano vem sendo registrado ransomware nestes pop-ups. Esse método desapareceu por semanas, voltando em julho de 2017 com o envio da ameaça Mole no arquivo Font_Chrome.exe. Tal ação foi encerrada no final do mesmo mês, mas retornou em agosto de 2017 com um tipo diferente de malware enviado sob o mesmo nome de arquivo.
As análises também mostram que o tráfego de rede segue dois caminhos distintos. Quem utiliza o Internet Explorer como navegador, por exemplo, recebe um alerta de antivírus falso com um número de telefone para uma fraude de suporte técnico, enquanto quem está no Chrome visualiza um pop-up HoeflerText que oferece o malware disfarçado como Font_Chrome.exe.
Sendo assim, fique atento caso perceba algo do gênero enquanto estiver navegando na rede utilizando o Chrome – especialmente se receber algo com uma mensagem “HoeflerText font wasn’t found”.
Fontes