Z čisto vedeckého hľadiska je zaujímavé, ako útočníci prichádzajú s novými metódami a schémami na distribúciu škodlivého užitočného zaťaženia do užívateľských systémov.
Písmo „HoeflerText“ nebolo nájdené je nedávny útok, ktorý mení text webových stránok tak, aby vyzeral, akoby písmo chýba, aby používatelia stiahli a nainštalovali údajnú aktualizáciu pre prehliadač Chrome, ktorá do systému pridáva písmo.
Už v januári som o tom hovoril na súkromnom fóre Ghacks o podpore. Prvá správa o útoku prišla podľa môjho najlepšieho vedomia od Proofpoint.
Správa podrobne odhaľuje, ako útok funguje. Väčšina techník útoku pravdepodobne nie je pre priemerného používateľa prehliadača Chrome tak zaujímavá, takže tu je krátky prehľad dôležitých prehľadov:
- Útok vyžaduje, aby užívateľ navštívil napadnutú webovú stránku.
- Útokový skript na webe kontroluje rôzne kritériá - krajinu, agenta používateľa a sprostredkovateľa - a vloží skript, ktorý nebol nájdený, na stránku, iba ak sú splnené kritériá.
- V takom prípade je celá stránka prepísaná vloženým skriptom tak, že vyzerá skomolene a pre používateľa je nečitateľná.
- Následne sa zobrazí kontextové okno s výzvou, aby používateľ stiahol chýbajúce písmo a následne ho nainštaloval do systému. Toto stiahnutie je skutočné užitočné zaťaženie útoku obsahujúce škodlivý kód.
Vyskakovacie okno bude vyzerať, akoby to bolo oficiálne okno zo samotného prehliadača Chrome. Je vybavený logom Google a znie:
Písmo „HoeflerText“ sa nenašlo.
Webová stránka, ktorú sa snažíte načítať, sa zobrazuje nesprávne, pretože používa písmo „HoeflerText“. Ak chcete chybu opraviť a zobraziť text, musíte aktualizovať „Balík písiem Chrome“.
Zobrazuje tiež (falošné) výrobcu a informácie o verzii doplnku Chrome Font Pack. Kliknutím na tlačidlo aktualizácie sa do systému stiahne spustiteľný súbor (Chrome_font.exe) a zmení sa kontextové okno, aby sa zobrazili informácie o spustení spustiteľného súboru na aktualizáciu fontov Chrome.
Poznámka : Výzvy, názov chýbajúceho písma, ktoré sa používa pri útoku, a názov súboru môžu útočníci kedykoľvek zmeniť. Je samozrejmé, že by ste nemali kliknúť na tlačidlo aktualizácie ani nainštalovať stiahnutý spustiteľný súbor, ak ste tak urobili.
Čo môžeš urobiť
Jedinou možnosťou, ktorú máte, je počkať, kým vlastník webu neopraví web, aby odstránil škodlivé skripty, ktoré na ňom bežia. Po dokončení by sa malo vrátiť k normálnemu stavu za predpokladu, že čistenie bolo dôkladné.
Ak potrebujete okamžite pristupovať na web, pozrite sa na The Wayback Machine a zistite, či existuje jeho archivovaná kópia.
