Новый виток атак был зафиксирован в начале декабря 2016 года. Эксперты заметили, что один из сайтов, скомпрометированных EITest, загружает на компьютеры посетителей файл "Chrome_Font.exe". Как только жертва запускала браузер Chrome, внедренный на страницу код делал текст не читаемым, а на экране отображалось фальшивое уведомление о необходимости загрузки и установки файла, якобы содержащего новые шрифты. Уведомление невозможно закрыть, нажав на "Х", поэтому пользователь вынужден разрешить загрузку файла, который на деле является вредоносным ПО. Как подозревают исследователи, под файлом Chrome_Font.exe скрывается рекламное ПО Fleercivet.
"Инфицирование происходит просто: если жертва соответствует установленным критериям - целевая страна, корректный User-Agent (Chrome на компьютерах под управлением Windows) и правильный Referer - на страницу внедряется скрипт, переписывающий скомпрометированный web-сайт в браузере потенциальной жертвы. Текст становится нечитаемым, тем самым создавая для пользователя проблему", - пояснил эксперт Proofpoint, известный как Kafeine.
По словам эксперта, злоумышленники отошли от практики использования эксплоит-паков для доставки вредоносов и сейчас изобретают новые стратегии, в том числе с применением методов социальной инженерии. Так же как в случаях с другими угрозами, преступники эксплуатируют человеческий фактор, обманом вынуждая пользователей загружать и устанавливать вредоносное ПО.