Zlonamjerna kampanja “The ‘HoeflerText’ font wasn’t found” se vratila, ali za razliku od prijašnje inačice koja je ciljala preglednik Google Chrome te navodila korisnike da na računalo preuzmu zlonamjerni ransomware Spora, trenutna inačica cilja preglednik Mozilla Firefox te navodi korisnike na preuzimanje zlonamjernog sadržaja imena Zeus Panda.

Posebno je zanimljiva činjenica kako napadači nisu izmijenili naziv fonta (HoeflerText) već su zadržali naziv koji su koristili u prethodnoj kampanji što je sigurnosnim stručnjacima iz tvrtke Proofpoint omogućilo brzo otkrivanje.

Sam napad počinje porukom u pregledniku Mozilla Firefox u kojoj stoji kako font “HoeflerText” nije pronađen na uređaju (“The ‘HoeflerText’ font was not found”) te kako se isti font može preuzeti putem poveznice dostavljene u poruci (“To fix the error and display the next, you have to update the ‘Mozilla Font Pack’.”).

Kada korisnik dostavljenoj poveznici pristupi, na korisnički uređaj počinje preuzimanje .zip datoteke u kojoj se nalazi zlonamjerni JavaScript kod. Tijekom preuzimanja zlonamjernog sadržaja na računalo, na zaslonu uređaja prikazuje se poruka u kojoj stoji kako korisnik mora pokrenuti JavaSript datoteku radi uspješne instalacije fonta koji nedostaje.

U trenutku kada korisnik pokrene JavaScript datoteku započinje preuzimanje zlonamjernog sadržaja Zeus Panda na računalo. Jednom kada zarazi sustav, Zeus Panda stupa u kontakt s C&C poslužiteljem te mu šalje podatke o zaraženom uređaju što, među ostalima, uključuje podatke o instaliranim antivirusnim programima.

Svrha je zlonamjernog sadržaja Zeus Panda krađa cijelog niza povjerljivih bankovnih podataka s uređaja korisnika, od Bitcoin razmjena do korisničkih računa za online klađenje.

Kako bi se zaštitili od ovakvih vrsta napada, korisnicima se savjetuje da preuzimanju sadržaja s interneta pristupaju s oprezom te da na računalu uvijek bude instalirana posljednja inačica antivirusnog programa.