最常见的恶意软件活动之一来自被攻击的网站被称为eit并且一直将受害者导向利用工具.但它也有一个替代有效载荷的浏览器以外的Internet Explorer,特别是谷歌Chrome,在那里它欺骗用户下载一个虚假的字体文件。

这项技术首先由Proofpoint曝光,很简单,但却很聪明,因为它确实会造成一种错觉,让人觉得浏览的网站存在问题。此外,下载“Chrome字型包”的提示符看起来很时尚和专业:

下载的文件当然不是字体,而是恶意软件。作恶者使用了标准名称“Chrome fonts .exe”和其他一些变体,但他们也使用了字符编码。这足以改变文件名(也许打破简单的签名检测?),但仍然看起来几乎与肉眼相同。

这是文件的样子,与经典的UTF编码并列:

当Windows不能识别字符集时,它将显示' ?”代替。下面是这种编码的一个快速视图(由Unicode分析仪).

继续安装所谓字体的用户会立即感染Spora勒索软件:

必威平台APP由于其基于行为的勒索软件检测引擎,已经保护您免受Spora。