Интересно е от чисто научен план как нападателите измислят нови методи и схеми за разпространение на злонамерени полезни натоварвания към потребителските системи.
Шрифта „HoeflerText“ не бе намерен е скорошна атака, която променя текста на уебсайта, така че да изглежда така, сякаш липсва шрифт, за да накара потребителите да изтеглят и инсталират предполагаема актуализация за Chrome, която добавя шрифта към системата.
Говорих за това на частния форум на Ghacks за поддръжка още през януари. Първият доклад за атаката дойде от Proofpoint, доколкото ми е известно.
Докладът разкрива подробно как работи атаката. Повечето от техническите характеристики на атаката вероятно не са толкова интересни за обикновения потребител на Chrome, така че тук е кратък преглед на важните елементи:
- Атаката изисква потребителят да посещава компрометиран уебсайт.
- Скриптът за атака на сайта проверява различни критерии - държава, потребителски агент и референт - и ще вмъкне скрипта не е намерен в страницата само ако критериите са изпълнени.
- В такъв случай цялата страница се пренаписва от вмъкнатия скрипт, така че да изглежда разклатена и да стане нечетлива за потребителя.
- След това се показва изскачащ прозорец, за да подкани потребителя да изтегли липсващия шрифт и да го инсталира след това в системата. Това изтегляне е действителният полезен товар за атака, съдържащ злонамерен код.
Изскачащото меню се прави така, че да изглежда като че ли е официална подкана от самия браузър Chrome. Той разполага с лого на Google и гласи:
Шрифта "HoeflerText" не бе намерен.
Уеб страницата, която се опитвате да заредите, се показва неправилно, тъй като използва шрифта "HoeflerText". За да коригирате грешката и да покажете текста, трябва да актуализирате „Chrome Font Pack“.
Той също така показва (фалшив) производител и информация за версията на Chrome Font Pack. Щракването върху бутона за актуализиране изтегля изпълним файл (Chrome_font.exe) в системата и променя изскачащото меню, за да показва информация за това как да стартирате изпълнимия файл за актуализиране на шрифтове на Chrome.
Забележка : Подканите, името на липсващия шрифт, който се използва при атаката, и името на файла могат да бъдат променени по всяко време от атакуващите. Разбира се, че не трябва да кликнете върху бутона за актуализиране, нито да инсталирате изтегления изпълним файл, ако сте го направили.
Какво можеш да правиш
Единствената опция, която имате, е да изчакате, докато собственикът на сайта не коригира уебсайта, за да премахне злонамерените скриптове, работещи върху него. След като приключи, трябва да се върне към нормалното, при условие че почистването е старателно.
Ако трябва незабавно да влезете в сайта, вижте The Wayback Machine, за да разберете дали архивирано копие от него съществува.
