Spora lunavaraviirus peidab end võltsi Chrome tekstifondipaki uuenduse taha

Pole mingi üllatus, et küberkurjategijad näitavad oma leidlikkust mitmete Windowsi ja Maci funktsioonide, teenuste, võrgustike ja veebilehitsejate ärakasutamise teel. Nüüd on Chrome’i kord kätte jõudnud. IT-spetsialist Brad Duncan avastas, et Spora lunavaraviirus, mis on murettekitava kiirusega kogunud populaarsust, on üritanud kasutajate seadmetesse pugeda võltsitud Chrome fondipaki uuenduse teel. Kogu see tehnika on sama keerukas kui Spora viirus isegi. Chrome veebilehitseja on üks maailma kõige populaarsemaid brausereid ning seetõttu on see ka krüptoviiruste loojate jaoks ahvatlev sihtmärk. Rääkides sellest konkreetsest viirusest, siis see meenutab Locky viirust. Seega, tekib küsimus: kas selle viiruse küüsist on võimalik pääseda?

Ründetarkvarad on lunavaraviiruste loojate seas muutunud aina populaarsemaks. Erinevalt spämmkirjadest, mis on küll endiselt sama levinud, on see meetod raskemini tuvastatav ja samas tunduvalt paindlikum. Õnneks märkas küberohtude uurija seda viirust isegi kattevarju tagant. Spora lunavara kasutab EITattack’i arvutisse sissepääsemiseks. Küberkurjategija kasutab halvemini kaitstud domeene, et kenasti sättida nakatunud javascript-kood sinna. Tagajärjena muutuvad need veebilehed loetamatuks, kuna näha saab ainult koodijuppi. Sellise ebameeldivuse eemaldamiseks pakuvad häkkerid, et võiksid installeerida “Chrome Font Pack’i” ehk Chrome’i kirjatüübipaki. Kasutajad suunatakse teisele domeenile, millel on kirjas tekst: HoeflerText font wasn’t found. Kui ekraanile ilmub hüpikaken, peaks ohver lubama update.exe nimelise faili installeerimise. Muidugi on kõik need sõnumid ka kujundatud nii, et need oleksid võimalikult sarnased õigetele Chrome’i hüpikakendele.

Õnneks aga isegi, kui sa oled külastanud mõnda nakatunud veebilehte, saad sa käsitsi need sõnumid tühistada ja seeläbi rünnakut vältida. Huvitaval kombel võib Spora lunavaraviiruse puhul tegemist olla Cerber lunavaraga, kuna Spora kasutab sama EITest tehnikat, mida CryptoShield 1.0 viiruskiCryptoMix kõige hiljutisem versioon. On mitmeid spekulatsioone selle kohta, kas tõesti on Locky ja Cerberi loojad oma jõud ühendanud või ongi lihtsalt sama grupeering rünnakute taga. Igal juhul on legitiimsed veebilehed aina enam häkkerite sihikuks, näiteks eelmisel aastal jagas populaarne Hiina restoran oma lehel hoopis lunavara, mitte menüüd. Need sündmused meelitavad meile, et küberturvalisuse tagamiseks on kõige tähtsam ettevaatlikus. Isegi, kui sul on mitmeid suurepäraseid turvaprogramme, võid sa siiski kokku puutuda lunavaraviirustega, kui lubad ligipääsu arvutisse mõnele kahtlasele laiendusele või avad nakatunud e-kirja manuse.

Autori kohta
Julie Splinters
Julie Splinters - Pahavara eemaldamise spetsialist

Julie Splinters on Viirused.ee uudistetoimetaja. Tal on Inglise filoloogia bakaraleureusekraad.

Võta ühendust autoriga Julie Splinters
Ettevõtte Esolutions kohta lähemalt

Loe teistes keeltes
Failid
Tarkvara
Võrdle