Puhtaasti tieteellisestä näkökulmasta on mielenkiintoista, kuinka hyökkääjät keksivät uusia menetelmiä ja järjestelmiä haitallisten hyötykuormien jakamiseksi käyttäjäjärjestelmiin.
"HoeflerText" -kirjasinta ei löytynyt, se on äskettäinen hyökkäys, joka muuttaa verkkosivuston tekstiä niin, että näyttää siltä, että kirjasin puuttuu, jotta käyttäjät voivat ladata ja asentaa väitetyn Chromen päivityksen, joka lisää kirjasimen järjestelmään.
Puhuin tästä yksityisellä Ghacks-tukifoorumilla jo tammikuussa. Ensimmäinen raportti hyökkäyksestä tuli Proofpointilta parhaan tietoni mukaan.
Raportti paljastaa yksityiskohtaisesti, miten hyökkäys toimii. Suurin osa hyökkäyksen takana olevista teknisistä ominaisuuksista ei todennäköisesti ole yhtä mielenkiintoisia tavalliselle Chromen käyttäjälle, joten tässä on lyhyt katsaus tärkeisiin vinkkuihin:
- Hyökkäys edellyttää, että käyttäjä käy vaarannetulla verkkosivustolla.
- Sivuston hyökkäyskomentosarja tarkistaa eri kriteerit - maan, käyttäjän edustajan ja viittauksen - ja lisää fonttiä, jota ei löydy skriptiä sivulle vain, jos ehdot täyttyvät.
- Tällöin koko sivu kirjoitetaan lisätyn komentosarjan avulla niin, että se näyttää vääristyneeltä ja siitä tulee käyttäjän luettamaton.
- Jälkeenpäin näkyviin tulee ponnahdusikkuna, joka kehottaa käyttäjää lataamaan puuttuvan kirjasimen ja asentamaan sen jälkeen järjestelmään. Lataus on todellinen hyökkäyksen hyötykuorma, joka sisältää haitallisen koodin.
Ponnahdusikkunan on tarkoitus näyttää olevan kuin virallinen kehote itse Chrome-selaimesta. Siinä on Google-logo ja se kuuluu seuraavasti:
"HoeflerText" -kirjasinta ei löytynyt.
Ladattava verkkosivu näytetään väärin, koska se käyttää "HoeflerText" -kirjasinta. Virheen korjaamiseksi ja tekstin näyttämiseksi sinun on päivitettävä "Chrome Font Pack".
Se näyttää myös (väärennetyt) valmistajan ja Chrome Font Pack -version tiedot. Napsauttamalla päivityspainiketta lataa suoritettavan tiedoston (Chrome_font.exe) järjestelmään ja muuttaa ponnahdusikkunan näyttämään tietoja suoritettavan tiedoston suorittamisesta Chromen fonttien päivittämiseksi.
Huomaa : Hyökkääjät voivat milloin tahansa muuttaa hyökkäyksessä käytetyn puuttuvan kirjasimen nimen ja tiedostonimen. On sanomattakin selvää, että sinun ei pitäisi napsauttaa päivityspainiketta eikä asentaa ladattua suoritettavaa tiedostoa, jos olet tehnyt niin.
Mitä voit tehdä
Ainoa vaihtoehto, jonka sinulla on, on odottaa, kunnes sivuston omistaja korjaa verkkosivuston poistaakseen siinä käynnissä olevat haitalliset skriptit. Valmistuttuaan sen pitäisi palata normaaliin tapaan, jos puhdistus oli perusteellista.
Jos joudut pääsemään sivustoon heti, tutustu The Wayback Machine -sivustolle selvittääksesi, onko siitä arkistoitu kopio.
