Cyberkriminelle haben sich mal wieder etwas Neues einfallen lassen. Auf manipulierten Webseiten wird man als Nutzer des Browsers Google Chrome dazu aufgefordert, eine Schriftart namens HoeflerText Font zu installieren. Die Installation bleibt nicht ohne Folgen, denn die Erpresser-Software Spora wird nur von einem Sechstel aller Online-Virenscanner erkannt. Vom Browser wird die Betrugsmasche noch nicht als solche identifiziert oder unterbunden.
Betreiber eines WordPress-Blogs müssen schon seit mehreren Wochen zwingend ein Update durchführen, ansonsten machen sie es Erpressern sehr einfach. WP-Profi Kolja Sagorski rät zu einem automatischen Update, damit sicherheitsrelevante Verbesserungen zum Schutz der Surfer unverzüglich in WordPress eingebunden werden können.
Sofern die für Manipulationen anfällige Version von WordPress aktiv ist, können Hacker auf dem Blog ihren eigenen Code einschleusen, um diesen den Besuchern anzeigen zu lassen. So auch bei dieser neuen Masche, bei der alle Anwender des ansonsten als sicher geltenden Browsers Chrome hinter’s Licht geführt werden sollen. Mittels JavaScript wird der Text der Webseite unleserlich gemacht, gleichzeitig taucht ein Fenster auf (siehe Screenshot oben), in dem man zur Installation vom HoeflerText Font aufgefordert wird. Wer das tatsächlich tut, lässt die Erpresser-Software Spora auf seinen Computer. Kurze Zeit später ist der Computer nicht mehr nutzbar. Auch beim erneuten Booten wird man zur Zahlung eines Lösegeldes aufgeordert, der PC bleibt aber so oder so gesperrt. Das Dumme: Google muss aktiv werden. Bisher wird die Installation von Spora nicht vom Browser unterbunden. Zudem wird der Schädling nur von einer Minderheit aller Online-Virenscanner erkannt.
Das Popup sieht wie eine offizielle Mitteilung des Browsers aus. Rein theoretisch müsste es die Anwender nachdenklich stimmen, wieso die Schrift im Fenster lesbar ist – während der Rest der Webseite im Hintergrund nur mit Sonderzeichen ausgefüllt wurde? Wenn es Probleme bei der Lesbarkeit gibt, müsste eigentlich entweder gar nichts oder alles lesbar sein. Natürlich ist die Versuchung groß, bei Problemen einfach ohne weitere Hintergedanken auf den Menüpunkt „Update“ zu klicken, dann aber ist es fast schon zu spät.
HoeflerText Font wasn’t found?
Entdeckt hat das neue Verfahren die Firma NeoSmart Technologies. Ein Mitarbeiter schaute sich zufällig mehrere WordPress-Blogs an, bis er auf die merkwürdige Meldung mit dem angeblich fehlenden Font aufmerksam wurde. Aus Neugier hat er die ausführbare Datei Chrome Font v7.5.1.exe heruntergeladen, um sie zu analysieren. Chrome hat dies erlaubt, Anfängern wird sogar kleinschrittig anhand von Grafiken erläutert, wie sie die Schadsoftware (respektive den Font) bei sich installieren können (siehe Screenshot unten). Der Testlauf beim Scanning-Dienstleister virustotal (auch eine Google-Tochter) ergab, dass nur 9 von 59 Online-Scannern erkennen konnten, dass es sich bei dieser .exe um Schadsoftware handelt. Die meisten Scanner haben ihre Nutzer noch nicht alarmiert. Das Sicherheitsteam von Chrome wurde von NeoSmart Tech informiert. Die Anwender sollen künftig davor bewahrt werden, die ausführbare Datei ohne jede Warnung herunterladen zu können.
Den HoeflerText Font gibt es übrigens tatsächlich. Wer sie haben will, kann sich bei einem der kostenlosen Download-Portalen für Fonts bedienen.
https://tarnkappe.info/hoeflertext-font-neue-masche-zur-infektion-mit-schadsoftware/Quelle
Autor: Lars "Ghandy" Sobiraj
Quelle