Είναι ενδιαφέρον, από καθαρά επιστημονική άποψη, πώς οι επιτιθέμενοι καταλήγουν σε νέες μεθόδους και σχέδια για τη διανομή επιβλαβών ωφέλιμων φορτίων στα συστήματα χρηστών.
Η γραμματοσειρά "HoeflerText" δεν βρέθηκε είναι μια πρόσφατη επίθεση που αλλάζει κείμενο ιστότοπου έτσι ώστε να φαίνεται ότι λείπει μια γραμματοσειρά, προκειμένου οι χρήστες να κατεβάσουν και να εγκαταστήσουν μια εικαζόμενη ενημέρωση για το Chrome που προσθέτει τη γραμματοσειρά στο σύστημα.
Μίλησα για αυτό στο ιδιωτικό forum Ghacks για υποστήριξη που υποστηρίζεται ήδη τον Ιανουάριο. Η πρώτη αναφορά σχετικά με την επίθεση προήλθε από την Proofpoint στην καλύτερη δυνατή γνώση μου.
Η έκθεση αποκαλύπτει λεπτομερώς πώς λειτουργεί η επίθεση. Οι περισσότερες τεχνικές λεπτομέρειες πίσω από την επίθεση δεν είναι ίσως ενδιαφέρουσες για τον μέσο χρήστη του Chrome, οπότε εδώ θα βρείτε μια σύντομη επισκόπηση των σημαντικών ειδών:
- Η επίθεση απαιτεί ο χρήστης να επισκέπτεται έναν συμβιβασμένο ιστότοπο.
- Το σενάριο επίθεσης στον ιστότοπο ελέγχει διάφορα κριτήρια - χώρα, παράγοντα χρηστών και παραπομπή - και θα εισαγάγει μόνο τη γραμματοσειρά που δεν βρέθηκε στη σελίδα, αν πληρούνται τα κριτήρια.
- Εάν συμβαίνει αυτό, ολόκληρη η σελίδα ξαναγράφεται από το εισαγωγικό σενάριο έτσι ώστε να φαίνεται αλλοιωμένο και καθίσταται ακατάλληλο για τον χρήστη.
- Ένα αναδυόμενο παράθυρο εμφανίζεται στη συνέχεια για να ζητήσει από το χρήστη να κατεβάσει τη γραμματοσειρά που λείπει και να την εγκαταστήσει αργότερα στο σύστημα. Αυτή η λήψη είναι το πραγματικό φορτίο επίθεσης που περιέχει κακόβουλο κώδικα.
Το αναδυόμενο παράθυρο εμφανίζεται σαν να είναι μια επίσημη προτροπή από το ίδιο το πρόγραμμα περιήγησης Chrome. Διαθέτει λογότυπο Google και αναφέρει:
Δεν βρέθηκε η γραμματοσειρά "HoeflerText".
Η ιστοσελίδα που προσπαθείτε να φορτώσετε εμφανίζεται εσφαλμένα, καθώς χρησιμοποιεί τη γραμματοσειρά "HoeflerText". Για να διορθώσετε το σφάλμα και να εμφανίσετε το κείμενο, πρέπει να ενημερώσετε το "Χρώμα γραμματοσειράς του Chrome".
Εμφανίζει επίσης πληροφορίες σχετικά με την έκδοση του κατασκευαστή και του Chrome Font Pack. Ένα κλικ στο κουμπί ενημέρωσης μεταφορτώνει ένα εκτελέσιμο αρχείο (Chrome_font.exe) στο σύστημα και αλλάζει το αναδυόμενο παράθυρο για να εμφανίσει πληροφορίες σχετικά με τον τρόπο εκτέλεσης του εκτελέσιμου αρχείου για την ενημέρωση των γραμματοσειρών του Chrome.
Σημείωση : Οι προτροπές, το όνομα της γραμματοσειράς που λείπει που χρησιμοποιείται στην επίθεση και το όνομα του αρχείου ενδέχεται να αλλάξουν ανά πάσα στιγμή από τους εισβολείς. Είναι αυτονόητο ότι δεν πρέπει να κάνετε κλικ στο κουμπί ενημέρωσης ούτε να εγκαταστήσετε το εκτελέσιμο αρχείο που έχετε κατεβάσει αν το έχετε κάνει.
Τι μπορείς να κάνεις
Η μόνη επιλογή που έχετε είναι να περιμένετε έως ότου ο κάτοχος του ιστότοπου επιδιορθώσει τον ιστότοπο για να καταργήσει τα κακόβουλα σενάρια που εκτελούνται σε αυτόν. Αφού γίνει, θα πρέπει να επανέλθει σε κανονικό όρο, υπό τον όρο ότι ο καθαρισμός ήταν ενδελεχής.
Εάν πρέπει να έχετε άμεση πρόσβαση στον ιστότοπο, ανατρέξτε στη μηχανή αναζήτησης The Wayback, για να μάθετε εάν υπάρχει ένα αρχειοθετημένο αντίγραφό της.
