Chrome: не найден афера шрифта "HoeflerText"

С чисто научной точки зрения интересно, как злоумышленники придумывают новые методы и схемы для распределения вредоносных программ по пользовательским системам.

Шрифт HoeflerText не найден. Это недавняя атака, которая изменяет текст веб-сайта таким образом, что он выглядит так, как будто отсутствует шрифт, чтобы пользователи могли загрузить и установить предполагаемое обновление для Chrome, которое добавляет шрифт в систему.

Я говорил об этом на частном форуме Ghacks по поддержке еще в январе. Первый отчет об атаке пришел из Proofpoint, насколько мне известно.

В отчете подробно показано, как работает атака. Большинство технических деталей, стоящих за атакой, вероятно, не столь интересны для обычного пользователя Chrome, поэтому здесь приведен краткий обзор важных моментов:

  1. Атака требует, чтобы пользователь посещал взломанный сайт.
  2. Сценарий атаки на сайте проверяет различные критерии - страну, пользовательский агент и реферера - и будет вставлять сценарий шрифта не найден на странице, если критерии соблюдены.
  3. Если это так, то вся страница перезаписывается вставленным скриптом, поэтому она выглядит искаженной и становится нечитаемой для пользователя.
  4. После этого появится всплывающее окно, предлагающее пользователю загрузить отсутствующий шрифт и впоследствии установить его в системе. Эта загрузка является фактической полезной нагрузкой атаки, содержащей вредоносный код.

Всплывающее окно выглядит так, как будто это официальная подсказка самого браузера Chrome. Он имеет логотип Google и гласит:

Шрифт HoeflerText не найден.

Веб-страница, которую вы пытаетесь загрузить, отображается неправильно, так как она использует шрифт HoeflerText. Чтобы исправить ошибку и отобразить текст, вы должны обновить «Chrome Font Pack».

Он отображает (поддельные) производителя и информацию о версии Chrome Font Pack. Нажатие на кнопку обновления загружает исполняемый файл (Chrome_font.exe) в систему и изменяет всплывающее окно для отображения информации о том, как запустить исполняемый файл для обновления шрифтов Chrome.

Примечание . Подсказки, имя отсутствующего шрифта, который используется в атаке, и имя файла могут быть изменены злоумышленниками в любое время. Само собой разумеется, что вы не должны нажимать кнопку обновления или устанавливать загруженный исполняемый файл, если вы это сделали.

Что ты можешь сделать

Единственный вариант - подождать, пока владелец сайта исправит сайт, чтобы удалить запущенные на нем вредоносные скрипты. После этого все должно вернуться в нормальное состояние при условии тщательной очистки.

Если вам необходимо получить немедленный доступ к сайту, проверьте The Wayback Machine, чтобы узнать, существует ли его архивная копия.