Nhà nghiên cứu an ninh MalwareBreakdown mới công bố phân tích về một loại SocEng mới (phương pháp kỹ thuật đột nhập vào hệ thống) giả mạo EITest HoeflerText. Khi người dùng truy cập trang web nhiễm độc sẽ thấy thông báo nói rằng không tìm thấy font Roboto Condensed và yêu cầu người dùng tải, cài đặt gói font này để xem trang. Nếu cài đặt một trong các gói font này, máy tính sẽ bị nhiễm độc Trojan, theo dõi hoạt động máy tính và đào mỏ.
Tấn công qua gói font Roboto Condensed hoạt động như thế nào?
Để thực hiện kiểu tấn công này, trước tiên cần phải hack 1 trang web và chỉnh sửa để đoạn mã JavaScript được thêm vào mỗi trang trên website. Khi kịch bản đã được thực hiện, nó sẽ khiến chữ trên trang bị nghuệch ngoạc đi, trông như đang thiếu font. JavaScript sẽ hiển thị 1 hộp thoại nói rằng bạn cần tải gói font để tiếp tục xem trang.
Dưới đây là ví dụ về kịch bản này.
Ví dụ về đoạn JavaScript được chèn vào trang web
Truy cập vào trang web bị hack này, bạn sẽ thấy chữ bị bóp méo và không thể đọc được. Dù vậy kịch bản này không phải khi nào cũng hoạt động trơn tru trên các trang đã bị hack. Ví dụ như trong bài viết của MalwareBreakDown, https://malwarebreakdown.com trang hiển thị văn bản với các kí tự vô nghĩa.
Cập nhật font Roboto Condensed để tiếp tục xem trang
Nhưng trên một trang đã bị hack khác, trang vẫn hiển thị văn bản bình thường.
Văn bản hiển thị bình thường trên trang đã bị hack
Nếu dùng Chrome, việc tải font về sẽ được gọi là Chrome Font Pack. Nếu dùng Mozilla, nó sẽ có tên Mozilla Font Pack.
Thông báo tải font trên Firefox Mozilla
Một khi click vào Update, kịch bản sẽ tải tập tin có tên chromefp60.exe nếu bạn dùng Chrome hoặc mozillafp60.exe nếu dùng Firefox. Khi đó, cảnh báo sẽ chuyển thành hướng dẫn lưu và cài file tải về.
Hướng dẫn thực thi, cài đặt tập tin tải về
Dù vậy vẫn có tin tốt là việc tải về không phải tự động mà nạn nhân phải cài đặt thủ công mới bị nhiễm. Kẻ tấn công hy vọng rằng qua việc làm méo mó văn bản, giả làm cảnh báo từ trình duyệt về việc thiếu font chữ, chúng có thể lừa người dùng chạy tập tin. Một khi thực thi tập tin, malware sẽ được cài vào máy.
Font Roboto Condensed cài đặt mã độc Ursnif, đào mỏ và tải Trojan
Theo MalwareBreakDown, kẻ tấn công đứng sau Roboto Condensed Font Pack luôn xoay vòng sử dụng những kiểu malware khác nhau. Hiện giờ, các malware này gồm có công cụ đào mỏ Monero, Trojan.Downloaders và mã độc theo dõi hoạt động máy tính Ursnif. Dù không malware nào tốt đẹp cả nhưng nguy hiểm nhất trong số đó là Ursnif.
Ursnif âm thầm chạy ở chế độ nền, đồng thời ghi lại bất kì thứ gì bạn gõ trên bàn phím, trang web nào bạn truy cập hay bạn sao chép đoạn văn bản nào vào clipboard. Việc này có thể khiến rò rỉ thông tin nhạy cảm về các giao dịch thương mại, tên người dùng - mật khẩu, thông tin tài chính…
Vì kẻ tấn công thường xuyên thay đổi kiểu malware sẽ cài vào máy người dùng nên cũng sẽ không bất ngờ gì nếu trong tương lai chúng ta thấy có cả mã độc tống tiền.
Đoạn văn bản cảnh báo Chrome Font Pack
The "Roboto Condensed" font was not found.
The web page you are trying to load is displayed incorrectly, as it uses the "Roboto Condensed" font. To fix the error and display the next, you have to update the "Chrome Font Pack".
Manufacturer:Google Inc. All Rights Reserved.
Current version:Chrome Font Pack 54.0.2785.89
Latest version:Chrome Font Pack 60.0.3112.90
Đoạn văn bản cảnh báo Mozilla Font Pack
The "Roboto Condensed" font was not found.
The web page you are trying to load is displayed incorrectly, as it uses the "Roboto Condensed" font. To fix the error and display the next, you have to update the "Mozilla Font Pack".
Manufacturer: Mozilla Corporation.
Current version: Mozilla Font Pack 53.0.2785.89
Latest version: Mozilla Font Pack 60.0.3112.90