Det är intressant från en rent vetenskaplig synvinkel hur angripare tar fram nya metoder och scheman för att distribuera skadliga nyttolaster till användarsystem.
Teckensnittet "HoeflerText" hittades inte är en ny attack som ändrar webbplatsens text så att det ser ut som om ett teckensnitt saknas, för att få användare att ladda ner och installera en påstådd uppdatering för Chrome som lägger till teckensnittet i systemet.
Jag talade om detta på det privata Ghacks-forumet för stöd redan i januari. Den första rapporten om attacken kom från Proofpoint efter min bästa kunskap.
Rapporten avslöjar i detalj hur attacken fungerar. De flesta av de tekniska egenskaperna bakom attacken är förmodligen inte så intressanta för den genomsnittliga Chrome-användaren, så här är en kort översikt över de viktiga lurarna:
- Attacken kräver att användaren besöker en kompromissad webbplats.
- Attackskriptet på webbplatsen kontrollerar olika kriterier - land, användaragent och hänvisare - och kommer bara att infoga teckensnittet som inte hittades på sidan om kriterierna är uppfyllda.
- Om så är fallet skrivs hela sidan om av det infogade skriptet så att det ser trassligt ut och blir oläsligt för användaren.
- En popup visas efteråt för att uppmana användaren att ladda ner det saknade teckensnittet och installera det efteråt på systemet. Den nedladdningen är den faktiska attacklasten som innehåller skadlig kod.
Popupen görs för att se ut som om det är en officiell fråga från Chrome-webbläsaren själv. Den har en Google-logotyp och läser:
Teckensnittet "HoeflerText" hittades inte.
Webbsidan du försöker ladda visas felaktigt eftersom den använder teckensnittet "HoeflerText". För att åtgärda felet och visa texten måste du uppdatera "Chrome Font Pack".
Den visar (falska) tillverkare och Chrome Font Pack-versioninformation. Ett klick på uppdateringsknappen laddar ner en körbar fil (Chrome_font.exe) till systemet och ändrar popup för att visa information om hur man kör den körbara filen för att uppdatera Chrome-teckensnitt.
Obs : Anvisningarna, namnet på det saknade teckensnittet som används i attacken och filnamnet kan när som helst ändras av angriparna. Det säger sig självklart att du inte ska klicka på uppdateringsknappen eller installera den nedladdade körbara filen om du har gjort det.
Vad kan du göra
Det enda alternativet du har är att vänta tills webbplatsägaren fixar webbplatsen för att ta bort skadliga skript som körs på den. När det är gjort bör det gå tillbaka till det normala under förutsättning att rengöringen var noggrann.
Om du behöver komma åt webbplatsen omedelbart, kolla in The Wayback Machine för att ta reda på om det finns en arkiverad kopia av den.
