D'un point de vue purement scientifique, il est intéressant de voir comment les attaquants proposent de nouvelles méthodes et méthodes pour distribuer des charges malveillantes aux systèmes des utilisateurs.
La police "HoeflerText" qui n'a pas été trouvée est une attaque récente qui modifie le texte du site Web de manière à donner l'impression qu'une police est manquante. Les utilisateurs doivent télécharger et installer une mise à jour présumée pour Chrome qui ajoute la police au système.
J'en ai déjà parlé sur le forum privé Ghacks pour les soutiens en janvier. Le premier rapport sur l'attaque est venu de Proofpoint à ma connaissance.
Le rapport révèle en détail le fonctionnement de l'attaque. La plupart des détails techniques derrière l'attaque ne sont probablement pas si intéressants pour l'utilisateur moyen de Chrome. Voici donc un bref aperçu des informations importantes:
- L'attaque nécessite que l'utilisateur visite un site Web compromis.
- Le script d'attaque sur le site vérifie divers critères - pays, agent d'utilisateur et référent - et insère uniquement le script de police introuvable dans la page si les critères sont remplis.
- Si tel est le cas, la totalité de la page est réécrite par le script inséré, de sorte à paraître tronquée et à devenir illisible pour l'utilisateur.
- Une fenêtre contextuelle apparaît ensuite pour inviter l'utilisateur à télécharger la police manquante et à l'installer ensuite sur le système. Ce téléchargement est la charge d'attaque réelle contenant le code malveillant.
La fenêtre contextuelle est conçue pour ressembler à une invite officielle du navigateur Chrome lui-même. Il comporte un logo Google et se lit comme suit:
La police "HoeflerText" n'a pas été trouvée.
La page Web que vous essayez de charger ne s'affiche pas correctement, car elle utilise la police "HoeflerText". Pour corriger l'erreur et afficher le texte, vous devez mettre à jour le "Pack de polices Chrome".
Il affiche également les informations (fausses) du fabricant et de la version de Chrome Font Pack. Un clic sur le bouton de mise à jour télécharge un fichier exécutable (Chrome_font.exe) sur le système et modifie la fenêtre contextuelle afin d'afficher des informations sur l'exécution du fichier exécutable pour mettre à jour les polices Chrome.
Remarque : Les invites, le nom de la police manquante utilisée lors de l'attaque et le nom du fichier peuvent être modifiés à tout moment par les attaquants. Il va sans dire que vous ne devez pas cliquer sur le bouton de mise à jour, ni installer le fichier exécutable téléchargé, si vous l'avez déjà fait.
Ce que tu peux faire
La seule option que vous ayez est d'attendre que le propriétaire du site répare le site Web pour supprimer les scripts malveillants qui s'exécutent sur celui-ci. Une fois cela fait, il devrait revenir à la normale si le nettoyage a été minutieux.
Si vous devez accéder au site immédiatement, consultez The Wayback Machine pour savoir s’il en existe une copie archivée.
