Chrome: fontul „HoeflerText” nu a fost găsit înșelătorie

Este interesant, dintr-un unghi pur științific, modul în care atacatorii vin cu noi metode și scheme de distribuire a sarcinilor utile pentru sistemele utilizatorilor.

Fontul „HoeflerText” nu a fost găsit este un atac recent care modifică textul site-ului, astfel încât să pară că lipsește un font, pentru a-i determina pe utilizatori să descarce și să instaleze o presupusă actualizare pentru Chrome care adaugă fontul în sistem.

Am vorbit despre acest lucru pe forumul privat Ghacks pentru susținere din ianuarie deja. Primul raport despre atac a venit de la Proofpoint din câte am știut.

Raportul dezvăluie în detaliu cum funcționează atacul. Majoritatea tehnicilor din spatele atacului nu sunt probabil atât de interesante pentru utilizatorii obișnuiți de Chrome, așa că iată o scurtă privire de ansamblu asupra mesajelor importante:

  1. Atacul necesită ca utilizatorul să viziteze un site web compromis.
  2. Scriptul de atac de pe site verifică diverse criterii - țara, agentul de utilizare și referitorul - și va insera fontul care nu a fost găsit script în pagina doar dacă criteriile sunt îndeplinite.
  3. Dacă acesta este cazul, întreaga pagină este rescrisă de scriptul introdus, astfel încât să pară gălăgioasă și să nu poată fi citită pentru utilizator.
  4. Un popup este afișat ulterior pentru a solicita utilizatorului să descarce fontul lipsă și să îl instaleze ulterior pe sistem. Această descărcare este sarcina utilă a atacului care conține cod rău intenționat.

Popup-ul este creat pentru a arăta ca și cum ar fi un prompt oficial din browserul Chrome în sine. Dispune de un logo Google și citește:

Fontul "HoeflerText" nu a fost găsit.

Pagina web pe care încercați să o încărcați este afișată incorect, deoarece folosește fontul "HoeflerText". Pentru a remedia eroarea și a afișa textul, trebuie să actualizați „Chrome Font Pack”.

Afișează (fals) producătorul și informațiile despre versiunea Chrome Font Pack. Un clic pe butonul de actualizare descarcă în sistem un fișier executabil (Chrome_font.exe) și modifică fereastra pop-up pentru a afișa informații despre cum să execute fișierul executabil pentru a actualiza fonturile Chrome.

Notă : prompturile, numele fontului lipsă care este utilizat în atac și numele fișierului pot fi modificate în orice moment de atacatori. Este evident că nu ar trebui să faceți clic pe butonul de actualizare și nici să instalați fișierul executabil descărcat dacă ați făcut acest lucru.

Ce poti sa faci

Singura opțiune pe care o aveți este să așteptați până când proprietarul site-ului remediază site-ul pentru a elimina scripturile rău intenționate care rulează pe acesta. Odată terminat, ar trebui să revină la normal, cu condiția ca curățarea să fie minuțioasă.

Dacă trebuie să accesați site-ul imediat, consultați The Wayback Machine pentru a afla dacă există o copie arhivată a acestuia.