Сетевые мошенники освоили новую технику, благодаря которой заставляют пользователей установить на компьютер вредоносную программу, выдающую себя за обновление пакета шрифтов для браузера Google Chrome. Открытие сделал исследователь из компании NeoSmart Technologies, метод был замечен на взломанных сайтах с системой управления контентом WordPress. Используется язык JavaScript для изменения отображаемого на странице текста, в результате чего пользователь видит набор случайных символов.
Это должно убедить его в том, что с браузером что-то не в порядке, после чего появляется окно с сообщением о том, что не найден нужный шрифт. После этого пользователю предлагается скачать пакет шрифтов для Chrome и решить проблему.
Окно выглядит похожим на настоящие подобные окна браузера Chrome, чтобы у пользователей не возникло подозрений. Используется логотип браузера и правильный оттенок кнопки Обновить, в сообщении в окне нет ошибок, которые часто встречаются в других поддельных сообщениях подобного рода. Однако, если приглядеться, то можно заметить, что в сообщении указана версия Chrome 53, поэтому обладатели других версий браузера могут заподозрить неладное.
Нажатие на кнопку Обновить скачивает файл под названием Chrome Font v7.5.1.exe. Окно выдаёт инструкцию о том, как запустить сохранённую на компьютере программу. Chrome не распознаёт файл как вредоносный, как и Защитник Windows. Анализ VirusTotal показывает, что всего 9 из 59 антивирусов определяют файл как вредоносный. Они описывают его как Win32.Trojan.WisdomEyes, ML.Attribute.HighConfidence и приложение-вымогатель Ransom.Spora.