Tisztán tudományos szempontból érdekes, hogy a támadók miként dolgoznak ki új módszereket és sémákat a rosszindulatú hasznos terhek elosztására a felhasználói rendszerekbe.
A "HoeflerText" betűtípus nem található. Ez egy nemrégiben történt támadás, amely úgy változtatja meg a webhely szövegét, hogy úgy tűnik, hogy hiányzik egy betűkészlet, hogy a felhasználók letölthessék és telepítsék a Chrome állítólagos frissítését, amely hozzáadja a betűtípust a rendszerhez.
Már januárban beszélt erről a privát Ghacks-támogatási fórumon. A legjobb tudásom szerint a Proofpoint a támadásról szóló első jelentést készítette.
A jelentés részletesen ismerteti a támadás működését. A támadás mögött levő legtöbb műszaki elem valószínűleg nem olyan érdekes az átlagos Chrome-felhasználó számára, így itt található egy rövid áttekintés a fontos apróságokról:
- A támadás megköveteli, hogy a felhasználó egy veszélyeztetett webhelyet látogasson el.
- A webhely támadási parancsfájlja ellenőrzi a különböző kritériumokat - országot, felhasználói ügynököt és hivatkozót -, és csak akkor helyezi be a betűtípus nem található szkriptet az oldalba, ha a kritériumok teljesülnek.
- Ebben az esetben az egész oldalt átírja a beillesztett szkript úgy, hogy zavarosnak tűnik és olvashatatlanná váljon a felhasználó számára.
- Utána megjelenik egy felugró ablak, amely felszólítja a felhasználót, hogy töltse le a hiányzó betűtípust, és utána telepítse azt a rendszerre. Ez a letöltés az a támadás tényleges hasznos teher, amely kártékony kódot tartalmaz.
A felugró ablak úgy néz ki, mintha maga a Chrome-böngésző hivatalos parancssori felhívása lenne. Google logóval rendelkezik, és így szól:
A "HoeflerText" betűtípus nem található.
A betöltött weblap helytelenül jelenik meg, mivel a "HoeflerText" betűtípust használja. A hiba kijavításához és a szöveg megjelenítéséhez frissítenie kell a "Chrome Font Pack" -t.
Megjeleníti a (hamis) gyártó és a Chrome Font Pack verzió adatait is. A frissítés gombra kattintva letölt egy végrehajtható fájlt (Chrome_font.exe) a rendszerbe, és megváltoztatja az előugró menüt, hogy megjelenjen információk a futtatható fájl futtatásáról a Chrome betűtípusok frissítéséhez.
Megjegyzés : A támadók bármikor megváltoztathatják a támadásokhoz használt hiányzó betűkészlet nevét, valamint a fájl nevét. Magától értetődik, hogy ne kattintson a frissítés gombra, és ne telepítse a letöltött futtatható fájlt, ha ezt megtette.
Amit megtehetsz
Az egyetlen lehetőség, hogy megvárja, amíg a webhelytulajdonos kijavítja a webhelyet, hogy eltávolítsa a rajta futó rosszindulatú szkripteket. Miután elkészült, vissza kell térnie a normál állapotba, feltéve, hogy a tisztítás alapos volt.
Ha azonnal hozzáférnie kell a webhelyhez, nézd meg a The Wayback Machine eszközt, hogy megtudja, létezik-e annak archivált példánya.
