È interessante da un punto di vista scientifico come gli aggressori escogitano nuovi metodi e schemi per distribuire payload dannosi ai sistemi degli utenti.
Il carattere "HoeflerText" non è stato trovato è un attacco recente che modifica il testo del sito Web in modo che sembri che manchi un carattere, per indurre gli utenti a scaricare e installare un presunto aggiornamento per Chrome che aggiunge il carattere al sistema.
Ne ho parlato sul forum privato di Ghacks per il supporto già a gennaio. Il primo rapporto sull'attacco è arrivato da Proofpoint a mia conoscenza.
Il rapporto rivela in dettaglio come funziona l'attacco. La maggior parte dei tecnicismi dietro l'attacco non sono probabilmente così interessanti per l'utente medio di Chrome, quindi ecco una breve panoramica delle notizie importanti:
- L'attacco richiede che l'utente visiti un sito Web compromesso.
- Lo script di attacco sul sito controlla vari criteri - paese, user agent e referrer - e inserirà il font non trovato nella pagina solo se i criteri sono soddisfatti.
- In tal caso, l'intera pagina viene riscritta dallo script inserito in modo che appaia confusa e diventi illeggibile per l'utente.
- Successivamente viene visualizzato un popup per richiedere all'utente di scaricare il font mancante e installarlo successivamente sul sistema. Quel download è il payload dell'attacco effettivo contenente codice dannoso.
Il popup viene fatto apparire come se fosse un prompt ufficiale dal browser Chrome stesso. È dotato di un logo di Google e legge:
Il carattere "HoeflerText" non è stato trovato.
La pagina Web che si sta tentando di caricare viene visualizzata in modo errato, poiché utilizza il carattere "HoeflerText". Per correggere l'errore e visualizzare il testo, è necessario aggiornare il "Chrome Font Pack".
Mostra anche le informazioni sulla versione (falsa) del produttore e del Chrome Font Pack. Un clic sul pulsante di aggiornamento scarica un file eseguibile (Chrome_font.exe) nel sistema e modifica il popup per visualizzare informazioni su come eseguire il file eseguibile per aggiornare i caratteri di Chrome.
Nota : i prompt, il nome del carattere mancante utilizzato nell'attacco e il nome del file possono essere modificati in qualsiasi momento dagli aggressori. Inutile dire che non è necessario fare clic sul pulsante di aggiornamento, né installare il file eseguibile scaricato se lo si è fatto.
Cosa puoi fare
L'unica opzione che hai è di aspettare fino a quando il proprietario del sito risolve il sito Web per rimuovere gli script dannosi in esecuzione su di esso. Una volta fatto, dovrebbe tornare alla normalità purché la pulizia sia stata accurata.
Se devi accedere immediatamente al sito, controlla The Wayback Machine per scoprire se esiste una copia archiviata di esso.
