Z ryze vědeckého hlediska je zajímavé, jak útočníci přicházejí s novými metodami a schématy distribuce škodlivého užitečného zatížení na uživatelské systémy.
Písmo „HoeflerText“ nebylo nalezeno, je nedávný útok, který mění text webových stránek tak, aby vypadal, jako kdyby písmo chybí, aby uživatelé mohli stáhnout a nainstalovat údajnou aktualizaci pro Chrome, která přidává písmo do systému.
Už v lednu jsem o tom mluvil na soukromém fóru Ghacks o podpoře. První zpráva o útoku přišla od společnosti Proofpoint podle mého nejlepšího vědomí.
Zpráva podrobně odhaluje, jak útok funguje. Většina technik za útokem pravděpodobně není pro průměrného uživatele Chrome tak zajímavá, takže zde je stručný přehled důležitých tidbits:
- Útok vyžaduje, aby uživatel navštívil ohrožený web.
- Útočný skript na webu kontroluje různá kritéria - zemi, agenta uživatele a referrera - a na stránku vloží skript, který nebyl nalezen, pokud jsou splněna kritéria.
- V takovém případě je celá stránka přepsána vloženým skriptem tak, aby vypadala zkomolená a uživateli byla nečitelná.
- Poté se zobrazí vyskakovací okno, které uživatele vyzve ke stažení chybějícího písma a jeho instalaci do systému. Toto stahování je skutečné užitečné zatížení útoku obsahující škodlivý kód.
Vyskakovací okno bude vypadat, jako by se jednalo o oficiální výzvu samotného prohlížeče Chrome. Obsahuje logo Google a čte:
Písmo „HoeflerText“ nebylo nalezeno.
Webová stránka, kterou se pokoušíte načíst, je zobrazena nesprávně, protože používá písmo „HoeflerText“. Chcete-li chybu opravit a zobrazit text, musíte aktualizovat „Chrome Font Pack“.
Zobrazuje také (falešné) výrobce a informace o verzi prohlížeče Chrome Font Pack. Kliknutím na tlačítko aktualizace stáhnete spustitelný soubor (Chrome_font.exe) do systému a změní vyskakovací okno tak, aby zobrazovalo informace o tom, jak spustit spustitelný soubor a aktualizovat písma Chrome.
Poznámka : Výzvy, název chybějícího písma použitého při útoku a název souboru mohou útočníci kdykoli změnit. Je samozřejmé, že byste neměli kliknout na tlačítko aktualizace ani nainstalovat stažený spustitelný soubor, pokud jste tak učinili.
Co můžeš udělat
Jedinou možností, kterou máte, je počkat, až majitel webu opraví web a odstranit škodlivé skripty, které na něm běží. Po dokončení by se mělo vrátit k normálnímu stavu za předpokladu, že čištění bylo důkladné.
Pokud potřebujete okamžitý přístup k webu, podívejte se na The Wayback Machine a zjistěte, zda existuje jeho archivovaná kopie.
