[出自:jiwo.org]

近期，一款恶意软件使用弹出窗口试图欺骗用户相信其当前浏览的网页缺少某种字体而无法正常显示，诱导用户与弹窗交互。这次攻击的目标主要是Google Chrome浏览器和Firefox浏览器用户。弹出窗口包含一个恶意的JavaScript文件，点击就会触发一个NetSupport Manager远程访问工具（RAT）或Locky勒索软件的下载进程。

这次的攻击活动由Brad Duncan与SANS Internet Storm Center和Palo Alto Networks’ Unit 42发现。他说类似的恶意软件活动，被称为EITest，可追溯到2016年12月。

受害者均会被重定向到钓鱼网站，网页上会产生一个虚假的弹窗消息。弹窗告知受害者正在尝试查看的网页无法正确显示，因为浏览器缺少正确的“HoeflerText”字体。

然后，该弹窗会提示受害者如何修复这个错误。Duncan表示， 这些弹窗会有一个“更新”按钮。当受害者点击它时会接收到一个名为Win.JSFontlib09.js的JavaScript文件，该JavaScript文件旨在下载并安装Locky勒索软件。

而在另外一些案例中，当按下Chrome HoeflerText字体更新按钮时，将会出现一个名为“Font_Chrome.exe”可执行文件。研究人员说，当该文件执行时，就会安装NetSupport Manager RAT远程访问工具（RAT）。

Duncan说：“这些差别很重要，因为这表明幕后后黑手的目的有所转变。 目前我们还不能解释为什么EITest活动的HoeflerText弹窗会从一开始推送勒索软件改为推送RAT。无论怎样，到目前为止勒索软件仍然是一个严重的威胁，它仍然是我们每天从大规模攻击事件中统计到的最大类别。”

Duncan猜测RAT正在越来越受到网络犯罪分子的欢迎，因为RAT能让攻击者在受感染的设备上获取更多的权限，并且比单一的勒索软件更加灵活。

垃圾邮件广告为这些恶意网页带来了充足的流量。

Duncan说：“我每周都会监测到好几起恶意邮件攻击事件。但在2017年08月31日之后，我发现有些攻击技术和往常出现了不小的变化。”

他表示，恶意垃圾邮件会链接到虚假的Dropbox页面。 如果你在Chrome或Firefox浏览器中查看这些页面，就会收到一条虚假通知，告知你缺少HoeflerText字体。同时伴随着这一个“更新”按钮，携带着一个恶意的JavaScript（.js）文件。

Duncan表示，通过使用IE浏览器或Microsoft Edge访问这些欺诈网页则不会触发“HoeflerText”弹窗。相反，使用IE浏览器的受害者收到的是一个虚假的防病毒警报和一个显示技术支持电话号码的弹窗。

根据研究，事件的源头指向一系列垃圾电子邮件，这类邮件会伪装来自Dropbox no-reply@dropbox.com。邮件主题为“请验证您的电子邮件地址”，消息的正文显示“我们需在您在注册完成之前验证您的电子邮件地址”并附带链接。当点击这个链接时，便会重定向到恶意网站页面，随之就触发了EITest活动的“HoeflerText”弹窗。

Duncan说：“各位应该警惕这一持续的威胁。对于Google Chrome浏览器提示缺少“HoeflerText”字体的弹窗要尤其小心。由于这是一个RAT木马，受害者可能不会立即注意到他们的设备有任何变化。但如果你在Windows主机上找到了NetSupport Manager RAT相关文件，那么你的设备极有可能已经感染了该木马。”