Fra en rent vitenskapelig vinkel er det interessant hvordan angripere kommer med nye metoder og ordninger for å fordele ondsinnet nyttelast til brukersystemer.
"HoeflerText" -fonte ble ikke funnet er et nylig angrep som endrer nettstedstekst slik at det ser ut som om en font mangler, for å få brukere til å laste ned og installere en påstått oppdatering for Chrome som legger skriften til systemet.
Jeg snakket om dette på det private Ghacks-forumet for støtter allerede i januar. Den første rapporten om angrepet kom fra Proofpoint etter beste kunnskap.
Rapporten avslører i detalj hvordan angrepet fungerer. Det meste av det tekniske bak angrepet er sannsynligvis ikke så interessant for den gjennomsnittlige Chrome-brukeren, så her er en kort oversikt over viktige ting:
- Angrepet krever at brukeren besøker et kompromittert nettsted.
- Angrepsskriptet på nettstedet sjekker forskjellige kriterier - land, brukeragent og henviser - og vil bare sette inn skriften som ikke ble funnet skriptet på siden hvis kriteriene er oppfylt.
- Hvis det er tilfelle, blir hele siden skrevet om av det innsatte skriptet, slik at det ser forvirret ut og blir uleselig for brukeren.
- En popup vises i etterkant for å be brukeren laste ned den manglende skriften og installere den etterpå på systemet. Den nedlastningen er den faktiske angreps nyttelasten som inneholder ondsinnet kode.
Pop-up-en ser ut som om det er en offisiell ledetekst fra Chrome-nettleseren. Den har en Google-logo, og leser:
"HoeflerText" -typen ble ikke funnet.
Nettsiden du prøver å laste inn vises feil, ettersom den bruker skriften "HoeflerText". For å fikse feilen og vise teksten, må du oppdatere "Chrome Font Pack".
Den viser (falske) produsent- og Chrome Font Pack-versjonsinformasjon. Et klikk på oppdateringsknappen laster ned en kjørbar fil (Chrome_font.exe) til systemet, og endrer popup for å vise informasjon om hvordan du kjører den kjørbare filen for å oppdatere Chrome-skrifter.
Merk : Anvisningene, navnet på den manglende skriften som brukes i angrepet, og filnavnet kan endres når som helst av angripere. Det sier seg selv at du ikke skal klikke på oppdateringsknappen, og heller ikke installere den nedlastbare kjørbare filen hvis du har gjort det.
Hva du kan gjøre
Det eneste alternativet du har er å vente til nettstedseieren fikser nettstedet for å fjerne de ondsinnede skriptene som kjører på det. Når det er gjort, skulle det gå tilbake til normalt forutsatt at rengjøringen var grundig.
Hvis du trenger å få tilgang til nettstedet umiddelbart, kan du sjekke ut The Wayback Machine for å finne ut om det er en arkivert kopi av det.
