Занимљиво је из чисто научног угла како нападачи смисле нове методе и шеме за дистрибуцију злонамерних корисних оптерећења на корисничке системе.
Фонт „ХоефлерТект“ није пронађен недавни напад који мења текст веб локације тако да изгледа као да неки фонт недостаје, како би корисници преузели и инсталирали наводну исправку за Цхроме која додаје фонт у систем.
О томе сам говорио на приватном Гхацкс форуму за подршку већ у јануару. Први извештај о нападу стигао је од стране Проофпоинт-а колико сам сазнао.
Извештај детаљно открива како напад делује. Већина техничких карактеристика напада вероватно није толико занимљива просечном кориснику Цхроме-а, па је овде кратки преглед важних ситница:
- За напад је потребно да корисник посети компромитовану веб локацију.
- Скрипта напада на веб локацији проверава различите критеријуме - земљу, корисничког агента и референцу - и умеће у страницу фонт који није пронађен пронађен само ако су критеријуми испуњени.
- Ако је то случај, уметнута скрипта преписује се цела страница тако да изгледа испреплетена и постане нечитљива кориснику.
- Након тога ће се приказати скочни прозор како би корисник затражио да преузме недостајући фонт и након тога га инсталирао на систем. То преузимање је стварни корисни терет напада који садржи злонамерни код.
Појавно се окно чини као да је то службена порука самог Цхроме прегледача. Садржи Гоогле лого и гласи:
Фонт "ХоефлерТект" није пронађен.
Веб страница коју покушавате да учитате приказује се погрешно, јер користи фонт „ХоефлерТект“. Да бисте исправили грешку и приказали текст, морате да ажурирате „Цхроме пакет фонтова“.
Такође приказује (лажне) произвођаче и информације о верзији Цхроме Фонт Пацк. Клик на дугме за ажурирање преузима извршну датотеку (Цхроме_фонт.еке) у систем и мења скочни прозор да би приказао информације о покретању извршне датотеке за ажурирање Цхроме фонтова.
Напомена : Напомене, име недостајућег фонта који се користи у нападу и име датотеке нападачи могу у било ком тренутку променити. Подразумева се да не бисте требали да кликнете на дугме за ажурирање нити да инсталирате преузету извршну датотеку ако сте то учинили.
Шта можете да урадите
Једина опција коју имате је да сачекате док власник сајта не поправи веб локацију како би уклонио злонамерне скрипте на њему. Након завршетка, требало би да се врати у нормалу под условом да чишћење буде темељно.
Ако требате одмах да приступите веб локацији, погледајте Тхе Ваибацк Мацхине да бисте сазнали да ли постоји архивирана копија истог.
