Chrome: мошенничество со шрифтом HoeflerText не обнаружено

С чисто научной точки зрения интересно, как злоумышленники придумывают новые методы и схемы для распространения вредоносных данных по пользовательским системам.

Шрифт «HoeflerText» не был найден — это недавняя атака, которая изменяет текст веб-сайта так, чтобы он выглядел так, как будто шрифт отсутствует, чтобы пользователи загрузили и установили предполагаемое обновление для Chrome, которое добавляет шрифт в систему.

Я уже говорил об этом на частном форуме поддержки Ghacks еще в январе. Первое сообщение о нападении поступило от Доказательство насколько мне известно.

В отчете подробно рассказывается, как работает атака. Большинство технических деталей атаки, вероятно, не так интересны среднему пользователю Chrome, поэтому вот краткий обзор важных лакомых кусочков:

1. Атака требует, чтобы пользователь посетил взломанный веб-сайт.
2. Сценарий атаки на сайте проверяет различные критерии — страну, пользовательский агент и реферер — и вставляет на страницу скрипт, не найденный шрифтом, только в том случае, если критерии соблюдены.
3. В этом случае вся страница будет перезаписана вставленным скриптом, так что она выглядит искаженной и становится нечитаемой для пользователя.
4. После этого отображается всплывающее окно, предлагающее пользователю загрузить отсутствующий шрифт и затем установить его в системе. Эта загрузка представляет собой фактическую полезную нагрузку атаки, содержащую вредоносный код.

Всплывающее окно выглядит так, как будто это официальный запрос самого браузера Chrome. Он имеет логотип Google и гласит:

Шрифт «HoeflerText» не найден.

Веб-страница, которую вы пытаетесь загрузить, отображается некорректно, так как на ней используется шрифт HoeflerText. Чтобы исправить ошибку и отобразить текст, вам необходимо обновить «Chrome Font Pack».

Он также отображает (поддельный) производитель и информацию о версии Chrome Font Pack. Щелчок по кнопке обновления загружает в систему исполняемый файл (Chrome_font.exe) и изменяет всплывающее окно для отображения информации о том, как запустить исполняемый файл для обновления шрифтов Chrome.

Заметка : Подсказки, имя отсутствующего шрифта, используемого при атаке, и имя файла могут быть изменены злоумышленниками в любое время. Само собой разумеется, что вам не следует нажимать кнопку обновления или устанавливать загруженный исполняемый файл, если вы это сделали.

Что ты можешь сделать

Единственный вариант, который у вас есть, — дождаться, пока владелец сайта исправит веб-сайт, чтобы удалить запущенные на нем вредоносные скрипты. После этого он должен вернуться в нормальное состояние при условии тщательной очистки.

Если вам нужно получить доступ к сайту немедленно, ознакомьтесь с Машина обратного пути чтобы узнать, существует ли его архивная копия.