Chrome: Font "HoeflerText" blev ikke fundet

Fra en rent videnskabelig vinkel er det interessant, hvordan angribere kommer med nye metoder og ordninger til at distribuere ondsindet nyttelast til brugersystemer.

Font "HoeflerText" blev ikke fundet er et nyligt angreb, der ændrer webstedets tekst, så det ser ud som om en skrifttype mangler, for at få brugere til at downloade og installere en påstået opdatering til Chrome, der tilføjer skrifttypen til systemet.

Jeg talte om dette på det private Ghacks forum for support allerede i januar. Den første rapport om angrebet kom fra Proofpoint efter min bedste viden.

Rapporten afslører detaljeret, hvordan angrebet fungerer. De fleste af de tekniske problemer bag angrebet er sandsynligvis ikke så interessante for den gennemsnitlige Chrome-bruger, så her er en kort oversigt over de vigtige ting:

  1. Angrebet kræver, at brugeren besøger et kompromitteret websted.
  2. Attackskriptet på webstedet kontrollerer forskellige kriterier - land, brugeragent og henviser - og vil kun indsætte skrifttypen, der ikke blev fundet, script på siden, hvis kriterierne er opfyldt.
  3. Hvis det er tilfældet, skrives hele siden om af det indsatte script, så det ser forvirret ud og bliver ulæseligt for brugeren.
  4. En popup vises bagefter for at bede brugeren om at downloade den manglende skrifttype og installere den bagefter på systemet. Denne download er den faktiske angrebslast, der indeholder ondsindet kode.

Pop-up'en lader til at se ud som om det er en officiel prompt fra Chrome-browseren selv. Det har et Google-logo og læser:

Font "HoeflerText" blev ikke fundet.

Den webside, du prøver at indlæse, vises forkert, da den bruger skrifttypen "HoeflerText". For at rette fejlen og vise teksten skal du opdatere "Chrome Font Pack".

Det viser (falske) producent og Chrome Font Pack-versioninformation. Et klik på opdateringsknappen henter en eksekverbar fil (Chrome_font.exe) til systemet og ændrer pop op for at få vist oplysninger om, hvordan man kører den eksekverbare fil til opdatering af Chrome-skrifttyper.

Bemærk : Anvisningerne, navnet på den manglende skrifttype, der bruges i angrebet, og filnavnet kan til enhver tid ændres af angribere. Det siger sig selv, at du ikke skal klikke på opdateringsknappen eller installere den downloadede eksekverbare fil, hvis du har gjort det.

Hvad du kan gøre

Den eneste mulighed, du har, er at vente, indtil webstedsejer fikser webstedet for at fjerne de ondsindede scripts, der kører på det. Når det er gjort, skulle det gå tilbage til normalt, forudsat at rengøringen var grundig.

Hvis du har brug for adgang til webstedet med det samme, skal du tjekke ud af The Wayback Machine for at finde ud af, om der findes en arkiveret kopi af det.