Tamamen bilimsel bir bakış açısıyla, saldırganların kullanıcı sistemlerine kötü niyetli yükler dağıtmak için yeni yöntemler ve programlar geliştirmeleri ilginçtir.
"HoeflerText" yazı tipi bulunamadı, kullanıcıların fontu sisteme ekleyen Chrome için iddia edilen bir güncellemeyi indirmelerini ve yüklemelerini sağlamak için web sitesi metnini, bir yazı tipi eksik gibi görünecek şekilde değiştiren bir saldırıdır.
Özel Ghacks forumunda Ocak ayından bu yana verilen desteklerden bahsettim. Saldırı hakkındaki ilk rapor Proofpoint'ten elimden gelenin en iyisini yaptım.
Rapor, saldırının nasıl çalıştığını ayrıntılı olarak ortaya koyuyor. Saldırının arkasındaki tekniklerin çoğu muhtemelen ortalama bir Chrome kullanıcısı için o kadar da ilginç değil, bu yüzden önemli haberlere kısa bir genel bakış:
- Saldırı, kullanıcının güvenli bir web sitesini ziyaret etmesini gerektirir.
- Sitedeki saldırı komut dosyası, çeşitli ölçütleri kontrol eder - ülke, kullanıcı aracısı ve başvuru sahibi - ve ölçütler karşılandığında yalnızca fontun bulamadığı komut dosyasını sayfaya ekler.
- Bu durumda, sayfanın tamamı eklenen betiğe göre yeniden yazılır, böylece bozuk görünüp kullanıcıya okunamaz hale gelir.
- Kullanıcının eksik fontu indirmesini ve daha sonra sisteme yüklemesini istemek için bir açılır pencere görüntülenir. Bu indirme, kötü amaçlı kod içeren gerçek saldırı yüküdür.
Pop-up, Chrome tarayıcısının kendisinden resmi bir bilgi istemi olarak görünüyor. Bir Google logosu içeriyor ve okuyor:
"HoeflerText" yazı tipi bulunamadı.
Yüklemeye çalıştığınız web sayfası "HoeflerText" yazı tipini kullandığı için yanlış görüntüleniyor. Hatayı düzeltmek ve metni görüntülemek için "Chrome Yazı Tipi Paketi" ni güncellemeniz gerekir.
Ayrıca (sahte) üreticiyi ve Chrome Yazı Tipi Paketi sürüm bilgilerini de görüntüler. Güncelleme düğmesine tıklandığında, yürütülebilir bir dosya (Chrome_font.exe) sisteme indirilir ve Chrome fontlarını güncellemek için yürütülebilir dosyanın nasıl çalıştırılacağına ilişkin bilgileri görüntülemek için açılır pencere değiştirilir.
Not : İstemlerde, saldırıda kullanılan eksik fontun adı ve dosya adı saldırganlar tarafından herhangi bir zamanda değiştirilebilir. Güncelleme düğmesine tıklamamanız veya indirdiğiniz yürütülebilir dosyayı yüklememelisiniz demeden devam eder.
Ne yapabilirsin
Sahip olduğunuz tek seçenek, site sahibi, üzerinde çalışan kötü amaçlı komut dosyalarını kaldırmak için web sitesini düzeltene kadar beklemektir. Bir kez yapıldığında, temizlik iyice sağlandığı takdirde normale dönmelidir.
Siteye hemen erişmeniz gerekiyorsa, arşivlenmiş bir kopyasının olup olmadığını öğrenmek için Wayback Makinesi'ne bakın.
