Het is vanuit een puur wetenschappelijke invalshoek interessant hoe aanvallers nieuwe methoden en schema's bedenken om kwaadaardige payloads naar gebruikerssystemen te distribueren.
Het lettertype "HoeflerText" is niet gevonden, is een recente aanval die de websitetekst zodanig verandert dat het lijkt alsof er een lettertype ontbreekt, zodat gebruikers een vermeende update voor Chrome kunnen downloaden en installeren die het lettertype aan het systeem toevoegt.
Ik sprak hierover al in januari op het privé Ghacks-forum voor ondersteuning. Het eerste rapport over de aanval kwam naar mijn beste weten van Proofpoint.
Het rapport onthult in detail hoe de aanval werkt. De meeste technische details achter de aanval zijn waarschijnlijk niet zo interessant voor de gemiddelde Chrome-gebruiker, dus hier is een kort overzicht van de belangrijke weetjes:
- De aanval vereist dat de gebruiker een gecompromitteerde website bezoekt.
- Het aanvalsscript op de site controleert verschillende criteria - land, user-agent en verwijzer - en voegt alleen het lettertype niet gevonden script in de pagina in als aan de criteria is voldaan.
- Als dat het geval is, wordt de hele pagina herschreven door het ingevoegde script zodat het er onleesbaar uitziet en onleesbaar wordt voor de gebruiker.
- Daarna wordt een pop-up weergegeven om de gebruiker te vragen het ontbrekende lettertype te downloaden en daarna op het systeem te installeren. Die download is de daadwerkelijke aanvalspayload die schadelijke code bevat.
De pop-up ziet eruit alsof het een officiële prompt van de Chrome-browser zelf is. Het beschikt over een Google-logo en leest:
Het lettertype "HoeflerText" is niet gevonden.
De webpagina die u probeert te laden, wordt onjuist weergegeven, omdat deze het lettertype "HoeflerText" gebruikt. Om de fout te verhelpen en de tekst weer te geven, moet u het "Chrome Font Pack" bijwerken.
Het toont ook (nep) fabrikant en Chrome Font Pack-versie-informatie. Een klik op de updateknop downloadt een uitvoerbaar bestand (Chrome_font.exe) naar het systeem en verandert de pop-up om informatie weer te geven over het uitvoeren van het uitvoerbare bestand om Chrome-lettertypen bij te werken.
Opmerking : de aanwijzingen, de naam van het ontbrekende lettertype dat in de aanval wordt gebruikt, en de bestandsnaam kunnen op elk moment door aanvallers worden gewijzigd. Het spreekt voor zich dat u niet op de updateknop moet klikken en het gedownloade uitvoerbare bestand niet moet installeren als u dit hebt gedaan.
Wat je kunt doen
De enige optie die u hebt, is wachten tot de site-eigenaar de website heeft hersteld om de schadelijke scripts te verwijderen die erop worden uitgevoerd. Eenmaal gedaan, zou het weer normaal moeten zijn, mits de reiniging grondig was.
Als u de site onmiddellijk wilt openen, kijk dan op The Wayback Machine om erachter te komen of er een gearchiveerde kopie van bestaat.
