Chrome: Шрифта „HoeflerText“ не бе открит измама

Интересно е от чисто научен план как нападателите измислят нови методи и схеми за разпространение на злонамерени полезни натоварвания към потребителските системи.

Шрифта „HoeflerText“ не бе намерен е скорошна атака, която променя текста на уебсайта, така че да изглежда, че ако шрифт липсва, за да накара потребителите да изтеглят и инсталират предполагаема актуализация за Chrome, която добавя шрифта към системата.

Говорих за това на частния Ghacks форум за поддръжка още през януари. Първият доклад за нападението дойде от Proofpoint доколкото ми е известно.

hoeflertext font wasnt found

Докладът разкрива подробно как работи атаката. Повечето от техническите характеристики на атаката вероятно не са толкова интересни за обикновения потребител на Chrome, така че ето кратък преглед на важните елементи:

  1. Атаката изисква потребителят да посети компрометиран уебсайт.
  2. Скриптът за атака на сайта проверява различни критерии - държава, потребителски агент и референт - и ще вмъкне скрипта не е намерен в страницата само ако критериите са изпълнени.
  3. В такъв случай цялата страница се пренаписва от вмъкнатия скрипт, така че да изглежда разклатена и да стане нечетлива за потребителя.
  4. След това се показва изскачащ прозорец, за да подкани потребителя да изтегли липсващия шрифт и да го инсталира след това в системата. Това изтегляне е действителният полезен товар за атака, съдържащ злонамерен код.

Изскачащото меню се прави така, че да изглежда като че ли е официална подкана от самия браузър Chrome. Той разполага с лого на Google и гласи:

Шрифта „HoeflerText“ не бе намерен.

Уеб страницата, която се опитвате да заредите, се показва неправилно, тъй като използва шрифта „HoeflerText“. За да коригирате грешката и да покажете текста, трябва да актуализирате „Chrome Font Pack“.

Той също така показва (фалшив) производител и информация за версията на Chrome Font Pack. Щракването върху бутона за актуализиране изтегля изпълним файл (Chrome_font.exe) в системата и променя изскачащото меню, за да показва информация за това как да стартирате изпълнимия файл за актуализиране на шрифтове на Chrome.

Забележка : Подканите, името на липсващия шрифт, който се използва при атаката, и името на файла могат да бъдат променени по всяко време от атакуващите. Разбира се, че не трябва да кликнете върху бутона за актуализиране, нито да инсталирате изтегления изпълним файл, ако сте го направили.

Какво можеш да правиш

Единствената опция, която имате, е да изчакате, докато собственикът на сайта не коригира уебсайта, за да премахне злонамерените скриптове, работещи върху него. След като го направите, трябва да се върне към нормалното, при условие че почистването е старателно.

Ако трябва незабавно да влезете в сайта, разгледайте The Wayback Machine за да разберете дали архивирано копие от него съществува.