Вредоносное программное обеспечение было замаскировано под пакет обновлений для шрифтов, используемых в Chrome. На этот зловред наткнулся один из исследователей, работающий в компании NeoSmart Technologies. В частности, он обнаружил, что самыми уязвимыми к этому вирусу являются сайты, которые в качестве основной системы управления контентом используют WordPress. После заражения благодаря использованию языка JavaScript контент на странице изменяется и начинает выглядеть как набор случайных символов.. Это должно натолкнуть пользователя на мысль о том, что с браузером возникли какие-то проблемы. Через время на экране появляется сообщение о том, что для полноценного отображения контента на странице необходимо установить дополнительный шрифт, который отсутствует в уже имеющейся базе Chrome. Пользователю предлагается скачать и установить новый набор шрифтов, в котором имеются все необходимые инструменты для корректного отображения контента. В сообщении указано, что это должно решить проблему.
Чтобы у пользователей не возникало никаких сомнений в том, что уведомление настоящее, для его оформления использовали стандартные элементы Google Chrome, поэтому оно выглядит как и все подобные окна в браузере. На окне уведомления присутствует логотип браузера, а кнопка «Обновить» имеет стандартное как для таких элементов цветовое оформление. Примечательно еще и то, что в сообщении отсутствуют ошибки. Чаще всего именно они указывают на то, что уведомление поддельное. Но в этом случае пользователь самостоятельно никак не сможет заподозрить неладное. Ну кроме одного единственного момента. В сообщении указана версия Chrome 53, поэтому те люди, которые пользуются более поздними или ранними версиями браузера, могут догадаться о том, что их пытаются обмануть.
После нажатия на кнопку «Обновить», которая должна привести к обновлению шрифтов, на компьютер пользователя начинает загружаться зараженный файл, который носит название Chrome Font v7.5.1.exe. После завершения процесса загрузки на экране появляется новое окно с подробной инструкцией о том, как запустить загруженное обновление.
Сам браузер Google Chrome не видит опасности в сохраненном файле даже после попытки его запуска. Операционная система Windows тоже не выдает никаких предупреждающих уведомлений, поэтому вирус совершенно беспрепятственно проникает на персональный компьютер пользователя.
После проведенного экспертами анализа выяснилось, что даже не все антивирусные программы распознают данный вирус. Из 59-ти самых популярных антивирусников только 9 могут идентифицировать вирус и предупредить пользователе о попытке заражения персонального компьютера. Некоторые антивирусные программы указывают, что на компьютер пытается проникнуть вирус-вымогатель под названием Ransom.Spora.
Отметим, что из-за очень большой популярности браузера Google Chrome его пользователи часто становятся жертвами мошеннических программ, похищающих личные данные или обманным путем заставляющие людей переводить денежные средства на сои счета. Чтобы избежать этого, пользователям нужно быть очень осторожными во время веб-серфинга. Не рекомендуется посещать подозрительные сайты и вводить свои данные на тех ресурсах, где используется незащищенный протокол HTTP. Кроме этого, все обновления для браузера, расширения и прочие сервисы лучше загружать с официальных сайтов.