„Chrome“: „HoeflerText“ šriftas nerastas

Išimtinai moksliniu požiūriu įdomu, kaip užpuolikai sugalvoja naujus metodus ir schemas, kaip paskirstyti kenksmingą naudą vartotojams.

„HoeflerText“ šriftas nerastas - tai neseniai įvykusi ataka, pakeičianti svetainės tekstą taip, kad atrodo, jog trūksta šrifto, kad vartotojai galėtų atsisiųsti ir įdiegti tariamą „Chrome“ naujinį, pridedantį šriftą prie sistemos.

Jau sausio mėnesį apie tai kalbėjau privačiame „Ghacks“ palaikymo forume. Mano žiniomis, pirmąjį pranešimą apie išpuolį pateikė „Proofpoint“.

Ataskaitoje išsamiai paaiškinama, kaip veikia išpuolis. Daugelis išpuolio techninių savybių tikriausiai nėra tokios įdomios paprastam „Chrome“ vartotojui, todėl čia yra trumpa svarbių smulkmenų apžvalga:

  1. Ataka reikalauja, kad vartotojas apsilankytų pažeistoje svetainėje.
  2. Atakos scenarijus svetainėje patikrina įvairius kriterijus - šalį, vartotojo agentą ir persiuntėją - ir įterpia šrifto nerastą scenarijų puslapyje tik tada, jei tenkinami kriterijai.
  3. Tokiu atveju visas puslapis perrašomas įterptu scenarijumi, kad jis atrodytų iškraipytas ir taptų neįskaitomas vartotojui.
  4. Po to pasirodo iššokantis langas, kuris paragins vartotoją atsisiųsti trūkstamą šriftą ir įdiegti jį sistemoje. Šis atsisiuntimas yra tikrasis užpuolimo krovinys, kuriame yra kenksmingas kodas.

Iššokantis langas atrodo taip, tarsi tai būtų oficialus raginimas iš pačios „Chrome“ naršyklės. Jame yra „Google“ logotipas ir rašoma:

„HoeflerText“ šriftas nerastas.

Tinklalapis, kurį bandote įkelti, rodomas neteisingai, nes jame naudojamas šriftas „HoeflerText“. Norėdami pašalinti klaidą ir parodyti tekstą, turite atnaujinti „Chrome“ šriftų paketą.

Čia taip pat rodoma (suklastota) gamintojo ir „Chrome Font Pack“ versija. Spustelėjus atnaujinimo mygtuką, į sistemą atsisiunčiamas vykdomasis failas („Chrome_font.exe“) ir keičiamas iššokantis langas, kad būtų rodoma informacija apie tai, kaip paleisti vykdomąjį failą „Chrome“ šriftams atnaujinti.

Pastaba : užpuolikai gali bet kada pakeisti išpuolyje naudojamo trūkstamo šrifto pavadinimą ir failo pavadinimą. Savaime suprantama, kad neturėtumėte spustelėti atnaujinimo mygtuko ir neįdiegti atsisiųsto vykdomojo failo, jei tai padarėte.

Ką tu gali padaryti

Vienintelis jūsų turimas pasirinkimas yra palaukti, kol svetainės savininkas ištaisys svetainę, kad pašalintų joje vykdomus kenksmingus scenarijus. Tai atlikus, jis turėtų grįžti į normalų, jei valymas buvo kruopštus.

Jei jums reikia nedelsiant patekti į svetainę, patikrinkite „The Wayback Machine“ ir sužinokite, ar egzistuoja archyvuota jos kopija.