Z čisto znanstvenega vidika je zanimivo, kako napadalci oblikujejo nove metode in sheme za distribucijo zlonamernih uporabnih obremenitev na uporabniške sisteme.
Pisave "HoeflerText" ni bilo mogoče najti je nedavni napad, ki spremeni besedilo spletnega mesta, tako da je videti, kot da pisava manjka, da bi uporabniki prenesli in namestili domnevno posodobitev za Chrome, ki doda pisavo v sistem.
O tem sem govoril že na zasebnem forumu Ghacks za podporo že januarja. Prvo poročilo o napadu je prišlo iz podjetja Proofpoint, kolikor vem.
Poročilo podrobno razkriva, kako deluje napad. Večina tehničnih lastnosti napada za povprečnega uporabnika Chroma verjetno ni tako zanimiva, zato je tu kratek pregled pomembnih sitnosti:
- Napad zahteva, da uporabnik obišče ogroženo spletno mesto.
- Skript napada na spletnem mestu preverja različna merila - državo, uporabniškega agenta in napotitelja - in v stran vstavi pisavo, ki ni bila najdena, če so izpolnjeni kriteriji.
- V tem primeru je vstavljena skripta celotna stran napisana tako, da je videti skrita in uporabniku neberljiva.
- Nato se prikaže pojavno okno, s katerim uporabnik pozove, naj prenese manjkajočo pisavo in jo nato namesti v sistem. Ta prenos je dejanska koristna obremenitev, ki vsebuje zlonamerno kodo.
Pojavno okno je videti, kot da je to uradni poziv brskalnika Chrome. Vsebuje Googlov logotip in se glasi:
Pisave "HoeflerText" ni bilo mogoče najti.
Spletna stran, ki jo poskušate naložiti, je prikazana napačno, saj uporablja pisavo "HoeflerText". Če želite odpraviti napako in prikazati besedilo, morate posodobiti "Chrome Font Pack".
Prikaže tudi podatke o ponarejenem proizvajalcu in različico različice Chrome Font Pack. S klikom gumba za posodobitev se v sistem prenese izvršljiva datoteka (Chrome_font.exe) in se spremeni pojavno okno, da se prikažejo informacije o zagonu izvršljive datoteke za posodobitev pisav Chrome.
Opomba : Pozivnike, ime manjkajoče pisave, ki se uporablja v napadu, in ime datoteke lahko napadalci kadar koli spremenijo. Samoumevno je, da ne smete klikniti gumba za posodobitev niti namestiti naložene izvršljive datoteke, če ste to storili.
Kaj lahko narediš
Edina možnost, ki jo imate, je, da počakate, da lastnik spletnega mesta določi spletno mesto, da odstrani zlonamerne skripte. Po končanem čiščenju se mora vrniti v normalno stanje, če je bilo čiščenje temeljito.
Če morate takoj obiskati spletno mesto, si oglejte The Wayback Machine in ugotovili, ali obstaja arhivirana kopija.
