Chrome: Phông chữ "HoeflerText" không bị phát hiện lừa đảo

Thật thú vị từ góc độ hoàn toàn khoa học về cách những kẻ tấn công đưa ra các phương pháp và kế hoạch mới để phân phối tải trọng độc hại cho các hệ thống người dùng.

Phông chữ "HoeflerText" không được tìm thấy là một cuộc tấn công gần đây làm thay đổi văn bản trang web để trông giống như một phông chữ bị thiếu, để người dùng tải xuống và cài đặt bản cập nhật bị cáo buộc cho Chrome có thêm phông chữ vào hệ thống.

Tôi đã nói về điều này trên diễn đàn Ghacks riêng để được hỗ trợ trở lại vào tháng 1 rồi. Báo cáo đầu tiên về cuộc tấn công xuất phát từ Proofpoint theo hiểu biết tốt nhất của tôi.

Báo cáo tiết lộ chi tiết cách thức hoạt động của cuộc tấn công. Hầu hết các kỹ thuật đằng sau cuộc tấn công có lẽ không thú vị đối với người dùng Chrome trung bình, vì vậy đây là một tổng quan ngắn về các mẩu tin quan trọng:

  1. Cuộc tấn công yêu cầu người dùng truy cập một trang web bị xâm nhập.
  2. Tập lệnh tấn công trên trang web kiểm tra các tiêu chí khác nhau - quốc gia, tác nhân người dùng và người giới thiệu - và sẽ chỉ chèn phông chữ không tìm thấy tập lệnh trong trang nếu đáp ứng các tiêu chí.
  3. Nếu đó là trường hợp, toàn bộ trang được viết lại bởi tập lệnh được chèn để nó trông bị cắt xén và không thể đọc được cho người dùng.
  4. Một cửa sổ bật lên được hiển thị sau đó để nhắc người dùng tải xuống phông chữ bị thiếu và cài đặt nó sau đó trên hệ thống. Tải xuống đó là tải trọng tấn công thực tế có chứa mã độc.

Cửa sổ bật lên được tạo ra trông như thể đó là lời nhắc chính thức từ chính trình duyệt Chrome. Nó có logo Google và đọc:

Phông chữ "HoeflerText" không được tìm thấy.

Trang web bạn đang cố tải được hiển thị không chính xác, vì nó sử dụng phông chữ "HoeflerText". Để sửa lỗi và hiển thị văn bản, bạn phải cập nhật "Gói phông chữ Chrome".

Nó cũng hiển thị (giả) nhà sản xuất và thông tin phiên bản Chrome Font Pack. Nhấp chuột vào nút cập nhật tải xuống tệp thực thi (Chrome_font.exe) vào hệ thống và thay đổi cửa sổ bật lên để hiển thị thông tin về cách chạy tệp thực thi để cập nhật phông chữ Chrome.

Lưu ý : Lời nhắc, tên của phông chữ bị thiếu được sử dụng trong cuộc tấn công và tên tệp có thể bị thay đổi bất cứ lúc nào bởi những kẻ tấn công. Không cần phải nói rằng bạn không nên nhấp vào nút cập nhật, cũng không cài đặt tệp thực thi đã tải xuống nếu bạn đã làm như vậy.

Bạn có thể làm gì

Tùy chọn duy nhất bạn có là đợi cho đến khi chủ sở hữu trang web sửa trang web để xóa các tập lệnh độc hại đang chạy trên đó. Sau khi thực hiện, nó sẽ trở lại bình thường với điều kiện làm sạch được kỹ lưỡng.

Nếu bạn cần truy cập trang web ngay lập tức, hãy kiểm tra Máy Wayback để tìm hiểu xem có bản sao lưu trữ của nó không.