Chrome: fonts “HoeflerText” netika atrasts

No tīri zinātniska viedokļa ir interesanti, kā uzbrucēji nāk klajā ar jaunām metodēm un shēmām, kā izplatīt ļaunprātīgas kravas uz lietotāju sistēmām.

Fonts "HoeflerText" netika atrasts. Tas ir nesens uzbrukums, kas maina vietnes tekstu tā, ka izskatās, ka trūkst fonta, lai lietotāji varētu lejupielādēt un instalēt iespējamo pārlūka Chrome atjauninājumu, kas sistēmai pievieno fontu.

Par to es jau janvārī runāju privātajā atbalsta forumā Ghacks. Cik man zināms, pirmais ziņojums par uzbrukumu nāca no Proofpoint.

Ziņojumā sīki atklāts, kā notiek uzbrukums. Lielākā daļa uzbrukuma tehnisko aspektu, iespējams, nav tik interesanti vidusmēra Chrome lietotājam, tāpēc šeit ir īss svarīgu sīkumu pārskats:

  1. Uzbrukuma dēļ lietotājam jāapmeklē apdraudēta vietne.
  2. Uzbrukuma skripts vietnē pārbauda dažādus kritērijus - valsti, lietotāja aģentu un novirzītāju - un lapā ievietoto fontu neatradīs tikai tad, ja tiks izpildīti kritēriji.
  3. Ja tas tā ir, visu lapu pārraksta ar ievietoto skriptu tā, lai tā izskatās izkropļota un kļūst lasāma lietotājam.
  4. Pēc tam tiek parādīts uznirstošais logs, kas lietotājam tiek piedāvāts lejupielādēt trūkstošo fontu un pēc tam instalēt to sistēmā. Šī lejupielāde ir faktiskā uzbrukuma krava, kurā ir ļaunprātīgs kods.

Uznirstošais logs izskatās tā, it kā tas būtu oficiāls uzvedne no paša Chrome pārlūka. Tam ir Google logotips un lasāms šādi:

Fonts "HoeflerText" netika atrasts.

Vietne, kuru mēģināt ielādēt, tiek parādīta nepareizi, jo tajā tiek izmantots fonts "HoeflerText". Lai labotu kļūdu un parādītu tekstu, jums ir jāatjaunina “Chrome fontu pakotne”.

Tajā tiek parādīta arī (viltus) ražotāja informācija un Chrome Font Pack versija. Noklikšķinot uz atjaunināšanas pogas, sistēmā tiek lejupielādēts izpildāms fails (Chrome_font.exe) un mainīts uznirstošais logs, lai parādītu informāciju par izpildāmā faila palaišanu, lai atjauninātu Chrome fontus.

Piezīme : Uzbrucēji uzvednes, trūkstošā fonta nosaukumu, kas tiek izmantots uzbrukumā, un faila nosaukumu jebkurā laikā var mainīt. Pats par sevi saprotams, ka jums nav jānoklikšķina uz atjaunināšanas pogas, nedz jāinstalē lejupielādētais izpildāmais fails, ja esat to izdarījis.

Ko tu vari darīt

Vienīgā iespēja, kas jums ir jāgaida, līdz vietnes īpašnieks salabos vietni, noņems tajā darbotos ļaunprātīgos skriptus. Kad tas ir izdarīts, tam vajadzētu atgriezties normālā stāvoklī, ja tīrīšana bija pamatīga.

Ja jums nekavējoties jāpiekļūst vietnei, pārbaudiet The Wayback Machine, lai uzzinātu, vai pastāv arhivēta tās kopija.