Upozorenje: dve opasnosti vrebaju iz Google Chromea

Nedostajući font i maliciozna ekstenzija najnovije pretnje za korisnike Chromea.

Upozorenje: dve opasnosti vrebaju iz Google Chromea

Pojavile su se dve pretnje za korisnike Google Chrome browsera. Prva pretnja je malver koji se instalira ukoliko nasednete i kliknete na obaveštenje da je potrebno instalirati nedostajući font - "The 'HoeflerText' font wasn't found".

Druga pretnja je pojava pop-up prozora "Add Extension to Leave" kad korisnik ne može da napusti vebsajt stranicu dok ne instalira ponuđenu malicioznu ekstenziju.

Prevara sa nedostajućim fontom

Ukoliko vam se pri poseti nekoj web stranici pojavi obaveštenje o nedostajućem fontu i da je potrebno izvršiti ažuriranje Chrome font paketa, nemojte to uraditi! U pitanju je zamka.

The 'HoeflerText' font wasn't found

Slika 1. Obaveštenje o nedostajućem fontu - "The 'HoeflerText' font wasn't found". Izvor slike thehackernews.com

Zamka je otkrivena na jednom WordPress sajtu koji je navodno već bio kompromitovan. Ova prevara je poznata od ranije. Hakeri ubacuju JavaScript u legitimne sajtove koji imaju nizak nivo bezbednosti. Zbog toga tekst na tim sajtovima izgleda zbrkan, sa nasumičnim simbolima i karakterima.

Kompromitovana web stranica kod "The 'HoeflerText' font" prevare

Slika 3. Ovako izgleda kompromitovana web stranica kod "The 'HoeflerText' font" prevare. Izvor slike thehackernews.com

Maliciozna skripta čini kompromitovane sajtove nečitljivim i obaveštava korisnike da problem reše tako što će ažurirati 'Chrome font pack.' Još jednom upozoravamo korisnike Google Chrome pregledača da to nikako ne čine, jer će na taj način instalirati trojanca. Takođe, ovaj prevara se koristi i za distribuciju novog, sofisticiranog Spora ransomwarea.

Povezan tekst: Novi Spora Ransomware

Posebna opasnost za korisnike je to što poruka o nedostajućem fontu izgleda legitimno, sa istim nijansama boja koje koristi Chrome i sa istim logom. To otežava korisnicima da prepoznaju prevaru. Ipak, ima nekoliko načina da se prevara prepozna:

  1. U prozoru sa obaveštenjem uvek stoji informacija da je vaša trenutna verzija pregledača Chrome 53, bez obzira na stvarnu verziju i to može biti alarm da nešto nije u redu.
  2. Postoji nepodudarnost u imenima fajlova: Ukoliko se klikne na "update" opciju preuzima se .exe fajl pod nazivom "Chrome Font v7.5.1.exe". Međutim, fajl koji je prikazan u instrukcijama ima ime "Chrome_Font.exe". Ukoliko vam ovo promakne, moguće je da ćete dobiti i standardno upozorenje prilikom preuzimanja fajla „da se dati fajl ne preuzima često i da može biti opasan“.

Chrome ne označava fajl kao malver

Ono što je iznenađujuće jeste da Chrome pregledač ne označava fajl kao malver, ali ga ipak blokira jer je u pitanju fajl koji se ne preuzima često (što je deo standardnog upozorenja). Malver je pokrenut u VirusTotalu i otkriveno je da ga trenutno samo 9 od 59 AV softvera prepoznaje.

Prevara sa pop-up prozorom

Kod ove prevare, korisnicima se ne dozvoljava da napuste određenu web stranicu dok ne instaliraju Chrome ekstenziju. Praktično, korisnici su zarobljeni u beskonačnoj petlji. Jedini način da napuste dati sajt je da prihvate da instaliraju ekstenziju za Chrome tako što će kliknuti „Ok“ u pop-up prozoru sa porukom: "Add Extension to Leave."

Pop-up dodati ekstenziju

Slika 2. Pop-up prozor sa obaveštenjem da je potrebno dodati ekstenziju kako bi se napustila stranica. Izvor slike bleepingcomputer.com

Pomenuta ekstenzija vrši dve akcije. Najpre se zaštiti tako što blokira korisniku pristup Chrome podešavanjima i delu sa ekstenzijama. Svaki pokušaj da se pristupi stranama chrome://extensions i chrome://settings automatski preusmerava korisnika na stranu chrome://apps.

Maliciozna ekstenzija može da se ukloni samo ako je AV prepoznaje ili ako korisnik obriše direktorij ekstenzije iz Chrome instalacionog foldera.

Druga akcija koju ekstenzija obavlja je da pronalazi saobraćaj korisnika i da ga preusmerava na maliciozne stranice ukoliko pronađe određene ključne reči u URL-u kojem je korisnik pokušao da pristupi. Google je uklonio malicioznu ekstenziju iz Chrome Web Store.