С чисто научной точки зрения интересно, как злоумышленники придумывают новые методы и схемы для распределения вредоносных программ по пользовательским системам.
Шрифт HoeflerText не найден. Это недавняя атака, которая изменяет текст веб-сайта таким образом, что он выглядит так, как будто отсутствует шрифт, чтобы пользователи могли загрузить и установить предполагаемое обновление для Chrome, которое добавляет шрифт в систему.
Я говорил об этом на частном форуме Ghacks по поддержке еще в январе. Первый отчет об атаке пришел из Proofpoint, насколько мне известно.
В отчете подробно показано, как работает атака. Большинство технических деталей, стоящих за атакой, вероятно, не столь интересны для обычного пользователя Chrome, поэтому здесь приведен краткий обзор важных моментов:
- Атака требует, чтобы пользователь посещал взломанный сайт.
- Сценарий атаки на сайте проверяет различные критерии - страну, пользовательский агент и реферера - и будет вставлять сценарий шрифта не найден на странице, если критерии соблюдены.
- Если это так, то вся страница перезаписывается вставленным скриптом, поэтому она выглядит искаженной и становится нечитаемой для пользователя.
- После этого появится всплывающее окно, предлагающее пользователю загрузить отсутствующий шрифт и впоследствии установить его в системе. Эта загрузка является фактической полезной нагрузкой атаки, содержащей вредоносный код.
Всплывающее окно выглядит так, как будто это официальная подсказка самого браузера Chrome. Он имеет логотип Google и гласит:
Шрифт HoeflerText не найден.
Веб-страница, которую вы пытаетесь загрузить, отображается неправильно, так как она использует шрифт HoeflerText. Чтобы исправить ошибку и отобразить текст, вы должны обновить «Chrome Font Pack».
Он отображает (поддельные) производителя и информацию о версии Chrome Font Pack. Нажатие на кнопку обновления загружает исполняемый файл (Chrome_font.exe) в систему и изменяет всплывающее окно для отображения информации о том, как запустить исполняемый файл для обновления шрифтов Chrome.
Примечание . Подсказки, имя отсутствующего шрифта, который используется в атаке, и имя файла могут быть изменены злоумышленниками в любое время. Само собой разумеется, что вы не должны нажимать кнопку обновления или устанавливать загруженный исполняемый файл, если вы это сделали.
Что ты можешь сделать
Единственный вариант - подождать, пока владелец сайта исправит сайт, чтобы удалить запущенные на нем вредоносные скрипты. После этого все должно вернуться в нормальное состояние при условии тщательной очистки.
Если вам необходимо получить немедленный доступ к сайту, проверьте The Wayback Machine, чтобы узнать, существует ли его архивная копия.