Z czysto naukowego punktu widzenia interesujące jest to, w jaki sposób atakujący wymyślają nowe metody i schematy dystrybucji złośliwych ładunków na systemy użytkowników.
Czcionka „HoeflerText” nie została znaleziona to niedawny atak, który zmienia tekst witryny tak, aby wyglądał, jakby czcionka zaginęła, aby użytkownicy mogli pobrać i zainstalować rzekomą aktualizację przeglądarki Chrome, która dodaje czcionkę do systemu.
Mówiłem o tym na prywatnym forum Ghacks dla wsparcia już w styczniu. Pierwszy raport o ataku pochodzi z Proofpoint, według mojej najlepszej wiedzy.
Raport szczegółowo pokazuje, jak działa atak. Większość szczegółów technicznych ataku nie jest prawdopodobnie interesujących dla przeciętnego użytkownika Chrome, więc oto krótki przegląd ważnych ciekawostek:
- Atak wymaga, aby użytkownik odwiedził zainfekowaną stronę internetową.
- Skrypt ataku w witrynie sprawdza różne kryteria - kraj, agenta użytkownika i stronę odsyłającą - i wstawia tylko czcionkę, której nie znaleziono na stronie, jeśli kryteria są spełnione.
- W takim przypadku cała strona jest przepisywana przez wstawiony skrypt, aby wyglądała na zniekształconą i stała się nieczytelna dla użytkownika.
- Następnie wyświetla się okienko z prośbą o pobranie brakującej czcionki i zainstalowanie jej w systemie. To pobranie jest rzeczywistym atakiem zawierającym złośliwy kod.
Wyskakujące okienko ma wyglądać, jakby było oficjalnym monitem samej przeglądarki Chrome. Posiada logo Google i czyta:
Nie znaleziono czcionki „HoeflerText”.
Strona internetowa, którą próbujesz załadować, jest wyświetlana niepoprawnie, ponieważ używa czcionki „HoeflerText”. Aby naprawić błąd i wyświetlić tekst, musisz zaktualizować „Pakiet czcionek Chrome”.
Wyświetla także (fałszywego) producenta i informacje o wersji pakietu czcionek Chrome. Kliknięcie przycisku aktualizacji pobiera plik wykonywalny (Chrome_font.exe) do systemu i zmienia wyskakujące okienko, aby wyświetlić informacje o tym, jak uruchomić plik wykonywalny w celu aktualizacji czcionek Chrome.
Uwaga : monity, nazwa brakującej czcionki użytej w ataku oraz nazwa pliku mogą zostać zmienione w dowolnym momencie przez atakujących. Oczywistym jest, że nie należy klikać przycisku aktualizacji ani instalować pobranego pliku wykonywalnego, jeśli to zrobiono.
Co możesz zrobić
Jedyną opcją jest poczekanie, aż właściciel witryny naprawi witrynę, aby usunąć złośliwe skrypty działające na niej. Po zakończeniu należy powrócić do normalnego stanu, pod warunkiem że czyszczenie było dokładne.
Jeśli musisz natychmiast uzyskać dostęp do witryny, sprawdź The Wayback Machine, aby dowiedzieć się, czy istnieje zarchiwizowana kopia.
