Chrome: fonti "HoeflerText" ei leitud kelmuseks

Puhtalt teaduslikust küljest on huvitav, kuidas ründajad tulevad välja uute meetodite ja skeemidega, et levitada pahatahtlikku koormat kasutaja süsteemidele.

Fonti "HoeflerText" ei leitud - see on hiljutine rünnak, mis muudab veebisaidi teksti nii, et tundub, nagu font puudub, et kasutajatel oleks võimalik alla laadida ja installida väidetav värskendus Chrome'ile, mis lisab fondi süsteemi.

Rääkisin sellest juba jaanuaris eraviisilisel Ghacksi tugifoorumil. Minu teada oli Proofpointist esimene rünnaku aruanne.

Aruandest selgub üksikasjalikult, kuidas rünnak toimib. Enamik rünnaku taga olevaid tehnilisi lahendusi pole tavalisele Chrome'i kasutajale ilmselt nii huvitav, nii et siin on lühike ülevaade olulistest näpunäidetest:

  1. Rünnak nõuab, et kasutaja külastaks ohustatud veebisaiti.
  2. Saidi rünnakukript kontrollib mitmesuguseid kriteeriume - riik, kasutajaagent ja viitaja - ning lisab selle fondi, mida skripti lehel leiti, ainult siis, kui kriteeriumid on täidetud.
  3. Sel juhul kirjutatakse sisestatud skript kogu lehe ümber, nii et see näib segane ja muutub kasutajale loetamatuks.
  4. Pärast seda kuvatakse hüpik, mis palub kasutajal puuduv font alla laadida ja seejärel süsteemi installida. See allalaadimine on tegelik ründe kasulik koormus, mis sisaldab pahatahtlikku koodi.

Hüpik on loodud selleks, et see näeks välja nagu Chrome'i brauseri enda ametlik viip. Sellel on Google'i logo ja see kõlab järgmiselt:

Fonti "HoeflerText" ei leitud.

Veebilehte, mida proovite laadida, kuvatakse valesti, kuna see kasutab fonti "HoeflerText". Vea parandamiseks ja teksti kuvamiseks peate värskendama "Chrome Font Pack".

See kuvab ka (võlts) tootja ja Chrome Font Packi versiooni teabe. Klõps värskendusnupul laadib alla käivitatava faili (Chrome_font.exe) süsteemi ja muudab hüpikakna, et kuvada teave selle kohta, kuidas käivitada käivitatavat faili Chrome'i fondide värskendamiseks.

Märkus . Ründajad võivad rünnakutel kasutatava puuduva fondi nime ja failinime igal ajal muuta. On ütlematagi selge, et te ei peaks klõpsama värskendusnupul ega installima allalaaditud käivitatavat faili, kui olete seda teinud.

Mida sa saad teha

Ainus võimalus, mis teil on, on oodata, kuni saidi omanik veebisaidi parandab, et sellel töötavad pahatahtlikud skriptid eemaldada. Kui see on tehtud, peaks see minema tagasi normaalseks, kui puhastus oli põhjalik.

Kui peate saidile viivitamatult juurde pääsema, siis vaadake The Wayback Machinei, et teada saada, kas sellest on arhiivitud koopia.