Ia menarik dari sudut ilmiah semata-mata bagaimana penyerang datang dengan kaedah dan skim baru untuk mengedarkan muatan jahat ke sistem pengguna.
Fon "HoeflerText" tidak dijumpai adalah serangan baru-baru ini yang mengubah teks tapak web supaya kelihatan seperti fon hilang, untuk mendapatkan pengguna memuat turun dan memasang kemas kini yang dikatakan untuk Chrome yang menambah font ke sistem.
Saya bercakap tentang perkara ini di forum Ghacks swasta untuk menyokong kembali pada bulan Januari. Laporan pertama mengenai serangan itu datang dari Proofpoint untuk pengetahuan saya yang terbaik.
Laporan tersebut mendedahkan secara terperinci bagaimana serangan itu berfungsi. Kebanyakan teknikal di belakang serangan itu mungkin tidak menarik kepada pengguna Chrome purata, jadi di sini adalah gambaran ringkas mengenai khidmat penting:
- Serangan ini memerlukan pengguna melawat laman web yang dikompromi.
- Skrip serangan di laman web ini memeriksa pelbagai kriteria - negara, ejen pengguna, dan perujuk - dan hanya akan memasukkan fon tidak dijumpai skrip di halaman jika kriteria dipenuhi.
- Sekiranya demikian, seluruh halaman ditulis semula oleh skrip yang disisipkan supaya ia kelihatan kacau dan menjadi tidak boleh dibaca kepada pengguna.
- Popup dipaparkan selepas itu untuk meminta pengguna memuat turun font yang hilang dan memasangnya selepas itu pada sistem. Muat turun itu ialah muatan serangan sebenar yang mengandungi kod berniat jahat.
Popup dibuat untuk kelihatan seolah-olah ia merupakan petikan rasmi dari penyemak imbas Chrome itu sendiri. Ia mempunyai logo Google, dan berbunyi:
Fon "HoeflerText" tidak dijumpai.
Halaman web yang anda cuba muatkan dipaparkan dengan salah, kerana menggunakan font "HoeflerText". Untuk membetulkan ralat dan memaparkan teks, anda perlu mengemas kini "Font Font Pack".
Ia memaparkan pengilang (palsu) dan maklumat versi Chrome Pack Pack juga. Satu klik pada butang kemas kini memuat turun fail boleh laku (Chrome_font.exe) ke sistem, dan mengubah popup untuk memaparkan maklumat tentang bagaimana untuk menjalankan fail yang boleh dijalankan untuk mengemas kini fon Chrome.
Nota : Ganjaran, nama font yang hilang yang digunakan dalam serangan itu, dan nama fail boleh ditukar pada bila-bila masa oleh penyerang. Ia tidak mengatakan bahawa anda tidak perlu klik pada butang kemas kini, atau memasang fail boleh laku yang telah dimuat turun jika anda melakukannya.
Apa yang boleh anda lakukan
Satu-satunya pilihan yang anda miliki ialah menunggu sehingga pemilik tapak membetulkan tapak web untuk menghapus skrip jahat berjalan di atasnya. Setelah selesai, ia harus kembali normal apabila pembersihan dilakukan dengan teliti.
Sekiranya anda perlu mengakses laman web dengan serta-merta, semak mesin The Wayback untuk mengetahui sama ada salinan yang diarkib itu wujud.
