Zanimljivo je iz čisto znanstvenog ugla kako su napadači smislili nove metode i sheme za distribuciju zlonamjernih korisnih tereta na korisničkim sustavima.
Font "HoeflerText" nije pronađen nedavni je napad koji mijenja tekst web stranice tako da izgleda kao da neki font nedostaje, kako bi korisnici preuzeli i instalirali navodno ažuriranje za Chrome koje dodaje font u sustav.
O tome sam govorio na privatnom Ghacks forumu za podršku već u siječnju. Prvo izvješće o napadu stiglo je iz Proofpoint-a koliko mi je poznato.
Izvještaj detaljno otkriva kako napad funkcionira. Većina tehničkih podataka koji stoje iza napada vjerojatno nisu zanimljivi prosječnom korisniku Chromea, pa je ovdje kratki pregled važnih sitnica:
- Napad zahtijeva da korisnik posjeti ugroženu web stranicu.
- Skripta napada na web mjestu provjerava različite kriterije - državu, korisničkog agenta i preporuku - i umetnut će skriptu fonta koji nije pronađen u stranicu samo ako su zadovoljeni kriteriji.
- U tom slučaju, umetnuta skripta prepisuje se cijela stranica tako da izgleda isprepletena i korisniku postaje nečitljiva.
- Nakon toga prikazuje se skočni prozor kako bi korisnik zatražio da preuzme nedostajući font i nakon toga ga instalirao u sustav. To preuzimanje je stvarni korisni teret napada koji sadrži zlonamjerni kod.
Skočni prozor napravljen je tako da izgleda kao da je to službeni upit samog preglednika Chrome. Sadrži Googleov logotip i glasi:
Font "HoeflerText" nije pronađen.
Web stranica koju pokušavate učitati prikazuje se pogrešno, jer koristi font "HoeflerText". Da biste riješili pogrešku i prikazali tekst, morate ažurirati "Chrome Font Pack".
Također prikazuje podatke o lažnom proizvođaču i verziji Chrome Font Pack. Klikom na gumb za ažuriranje preuzima se izvršna datoteka (Chrome_font.exe) u sustav i mijenja skočni prozor da bi se prikazale informacije o pokretanju izvršne datoteke za ažuriranje Chrome fontova.
Napomena : Napasnici, naziv, nedostajući font koji se koristi u napadu i naziv datoteke napadači mogu u bilo kojem trenutku promijeniti. Podrazumijeva se da ne biste trebali kliknuti na gumb za ažuriranje niti instalirati preuzetu izvršnu datoteku ako ste to učinili.
Što možeš učiniti
Jedina opcija koju imate je da pričekate dok vlasnik web lokacije ne popravi uklanjanje zlonamjernih skripti na njemu. Nakon završetka, trebao bi se vratiti u normalu pod uvjetom da je čišćenje bilo temeljito.
Ako trebate odmah pristupiti mjestu, pogledajte The Wayback Machine kako biste saznali postoji li arhivirana kopija istog.
