Spora ransomware vermomt als nep Chrome Font Pakket update

Het komt niet als een verrassing dat cyber vrijbuiters hun creativiteit tonen door het uitbuiten van allerelei Windows en Mac eigenschappen, services, netwerken en browsers voor hun misdaden. Nu is het Chrome zijn tijd. IT expert, Brad Duncan, heeft de Spora ransomware gedetcteerd, welke enorm aan naam wint op cyber gebied en probeert om je apparaat binnen te dringen via een nep Chrome Font Pakket update. De ganse techniek is zo geavanceerd als de echte Spora dreiging. De Chrome browser is één van de meest populaire browsers die werelwijd gebruikt worden, wat laat veronderstellen dat de ontwerpers van deze uitgebreide crypto-malware de lat hoog leggen. Vanwege het bereik van de cybercampagne, lijkt de dreiging op het Locky virus. Dus rijst het dilemma: kan je aan dit cyber ongeluk ontsnappen?

Exploit kits winnen aan populariteit onder ransomware ontwerpers. In contrast tot spam e-mails, die nog steeds minder kansen op succes bieden, is deze methode minder detecteerbaar maar voorziet ze meer flexibiliteit. Gelukkig heeft een oplettende virus onderzoeker het virus in zijn vermomming opgmerkt. De Spora ransomware gebruikt EITattack om het infiltratie proces te starten. De cybercriminelen kiezen slecht beschermde domeinen uit om een gecorrumpeerde javascript code te plaatsen. Bijgevolg, worden deze sites onleesbaar omdat er een string van broncode getoond wordt. Om dit ongemak te verhelpen, stellen de hackers voor om het “Chrome Font Pack” te installeren. Gebruikers worden omgeleid naar een ander domain, dat stelt dat HoeflerText font niet werd gevonden. Van zodra het pop-up venster opduikt, wordt het slachtoffer verondersteld de installatie van update.exe bestand te activeren. Onnodig te vermelden da alle getoonde berichten lijken op Chrome zijn pop-up meldingen.

Gelukkig kan je, zelfs als je zo’n gecompromiteerde site bezoekt, deze berichten handmatig annuleren en dus de aanval afslaan. Interessant is dat, de Spora ransomware, welke, in feite, misschien wel de Cerber ransomware in vermomming is, dezelfde EITest techniek gebruikt als het CryptoShield 1.0 virus – de recentste versie van CryptoMix. Er wordt veel gespeculeerd of de ontwerpers van Locky en Cerber hun krachten gebundeld hebben of dat dezelfde bende achter deze aanvallen zit. Legitieme websites zijn de overheersende hacker tool aan het worden. Vorig jaar serveerde de website van een populair Chinees restaurant ransomware i.p.v. een expliciet menu. Deze gebeurtenissen herinneren ons eraan dat oplettendheid een belangrijke rol speelt in de cyberbeveiliging. Zelfs al beschik je over verschillende top beveiligingstoepassingen, kan je de vernietigende resultaten van ransomware ondervinden, door gewoon verdachte browser extensies te activeren of door gecorumpeerde spam e-mail bijlagen te openen.

Over de auteur
Julie Splinters
Julie Splinters - Malware-verwijder-specialist

Julie Splinter is de nieuwsredacteur van Zondervirus.nl. Ze is bachelor in de Engelse filologie.

Contact Julie Splinters
Over het bedrijf Esolutions

Lezen in een andere taal