Chrome: шрифт "HoeflerText" не знайдено афери

Цілком науково цікаво, як зловмисники придумують нові методи та схеми розподілу шкідливих навантажень на системи користувачів.

Шрифт "HoeflerText" не знайдено - це нещодавня атака, яка змінює текст веб-сайту, щоб виглядати, ніби шрифт відсутній, щоб змусити користувачів завантажити та встановити передбачуване оновлення для Chrome, яке додає шрифт до системи.

Про це я говорив на приватному форумі Ghacks вже в січні. Перший звіт про атаку надійшов від Proofpoint, наскільки мені відомо.

Звіт детально розкриває, як працює атака. Більшість технічних можливостей атаки, мабуть, не такі цікаві пересічному користувачу Chrome, тому ось короткий огляд важливих примх:

  1. Атака вимагає, щоб користувач відвідував порушений веб-сайт.
  2. Сценарій атаки на сайті перевіряє різні критерії - країну, користувацького агента та реферала - і вставлятиме на сторінку шрифт не знайденого сценарію лише у тому випадку, якщо критерії виконані.
  3. У такому випадку вся сторінка буде переписана вставленим сценарієм, щоб вона виглядала зіпсованою і стала нечитабельною для користувача.
  4. Після цього відображається спливаюче вікно, щоб запропонувати користувачу завантажити відсутній шрифт та встановити його згодом у системі. Це завантаження є фактичним корисним навантаженням, яке містить зловмисний код.

Спливаюче віконце виглядає так, ніби це офіційна підказка самого браузера Chrome. На ньому розміщений логотип Google і написано:

Шрифт "HoeflerText" не знайдено.

Веб-сторінка, яку ви намагаєтеся завантажити, відображається неправильно, оскільки вона використовує шрифт "HoeflerText". Щоб виправити помилку та відобразити текст, потрібно оновити "Пакет шрифтів Chrome".

Він також відображає (підроблені) виробника та інформацію про версію Chrome Font Pack. Клацання кнопкою оновлення завантажує виконуваний файл (Chrome_font.exe) у систему та змінює спливаюче вікно для відображення інформації про те, як запустити виконуваний файл для оновлення шрифтів Chrome.

Примітка : Підказки, назва відсутнього шрифту, який використовується в атаці, та ім'я файлу зловмисниками можуть бути змінені в будь-який час. Само собою зрозуміло, що ви не повинні натискати кнопку оновлення, а також не встановлювати завантажений виконуваний файл, якщо ви це зробили.

Що ти можеш зробити

Єдиний варіант, який ви маєте, - це почекати, поки власник сайту не виправить веб-сайт, щоб видалити зловмисні сценарії, що працюють на ньому. Як тільки це буде зроблено, воно повинно повернутися до нормального стану за умови ретельного очищення.

Якщо вам потрібно негайно зайти на сайт, перегляньте The Wayback Machine, щоб дізнатися, чи існує в архіві його копія.