Aus rein wissenschaftlicher Sicht ist es interessant, wie Angreifer neue Methoden und Schemata entwickeln, um schädliche Nutzdaten auf Benutzersysteme zu verteilen.
Die Schriftart "HoeflerText" wurde nicht gefunden. Es handelt sich um einen kürzlich durchgeführten Angriff, bei dem der Website-Text so geändert wird, dass es aussieht, als ob eine Schriftart fehlt, damit Benutzer ein mutmaßliches Update für Chrome herunterladen und installieren, mit dem die Schriftart dem System hinzugefügt wird.
Darüber habe ich bereits im Januar im privaten Ghacks-Forum für Support gesprochen. Der erste Bericht über den Angriff kam nach meinem besten Wissen von Proofpoint.
Der Bericht zeigt im Detail, wie der Angriff funktioniert. Die meisten technischen Details, die hinter dem Angriff stecken, sind für den durchschnittlichen Chrome-Nutzer wahrscheinlich nicht so interessant. Hier ein kurzer Überblick über die wichtigen Details:
- Der Angriff erfordert, dass der Benutzer eine gefährdete Website besucht.
- Das Angriffsskript auf der Site überprüft verschiedene Kriterien - Land, Benutzeragent und Verweiser - und fügt das Skript "Nicht gefundene Schriftart" nur dann in die Seite ein, wenn die Kriterien erfüllt sind.
- In diesem Fall wird die gesamte Seite vom eingefügten Skript so umgeschrieben, dass sie verstümmelt aussieht und für den Benutzer nicht mehr lesbar ist.
- Anschließend wird ein Popup angezeigt, in dem der Benutzer aufgefordert wird, die fehlende Schriftart herunterzuladen und anschließend auf dem System zu installieren. Dieser Download ist die eigentliche Angriffsnutzlast, die Schadcode enthält.
Das Popup sieht so aus, als wäre es eine offizielle Eingabeaufforderung des Chrome-Browsers. Es verfügt über ein Google-Logo und lautet:
Die Schriftart "HoeflerText" wurde nicht gefunden.
Die Webseite, die Sie laden möchten, wird falsch angezeigt, da die Schriftart "HoeflerText" verwendet wird. Um den Fehler zu beheben und den Text anzuzeigen, müssen Sie das "Chrome Font Pack" aktualisieren.
Es zeigt auch (gefälschte) Hersteller- und Chrome Font Pack-Versionsinformationen an. Durch Klicken auf die Schaltfläche "Aktualisieren" wird eine ausführbare Datei (Chrome_font.exe) auf das System heruntergeladen und das Popup-Fenster so geändert, dass Informationen zum Ausführen der ausführbaren Datei zum Aktualisieren von Chrome-Schriftarten angezeigt werden.
Hinweis : Die Eingabeaufforderungen, der Name der fehlenden Schriftart, die für den Angriff verwendet wird, und der Dateiname können von Angreifern jederzeit geändert werden. Es versteht sich von selbst, dass Sie weder auf die Schaltfläche "Aktualisieren" klicken noch die heruntergeladene ausführbare Datei installieren sollten, wenn Sie dies getan haben.
Was du tun kannst
Sie können nur warten, bis der Websitebesitzer die Website repariert hat, um die darauf ausgeführten schädlichen Skripts zu entfernen. Sobald dies erledigt ist, sollte es wieder normal sein, vorausgesetzt, die Reinigung war gründlich.
Wenn Sie sofort auf die Site zugreifen müssen, lesen Sie The Wayback Machine, um herauszufinden, ob eine archivierte Kopie davon vorhanden ist.
