Sangat menarik dari sudut pandang ilmiah bagaimana penyerang menemukan metode dan skema baru untuk mendistribusikan muatan berbahaya ke sistem pengguna.
Font "HoeflerText" tidak ditemukan adalah serangan baru-baru ini yang mengubah teks situs web sehingga sepertinya font hilang, untuk membuat pengguna mengunduh dan menginstal pembaruan yang diduga untuk Chrome yang menambahkan font ke sistem.
Saya membicarakan hal ini di forum Ghacks pribadi untuk mendapatkan dukungan di bulan Januari. Laporan pertama tentang serangan itu datang dari Proofpoint ke pengetahuan terbaik saya.
Laporan tersebut mengungkapkan secara rinci bagaimana serangan itu bekerja. Sebagian besar teknis di balik serangan itu mungkin tidak begitu menarik bagi pengguna Chrome rata-rata, jadi di sini adalah ikhtisar singkat dari informasi penting:
- Serangan itu mengharuskan pengguna mengunjungi situs web yang disusupi.
- Skrip serangan di situs memeriksa berbagai kriteria - negara, agen pengguna, dan pengarah - dan hanya akan memasukkan font yang tidak ditemukan skrip di halaman jika kriteria terpenuhi.
- Jika itu masalahnya, seluruh halaman ditulis ulang oleh skrip yang disisipkan sehingga terlihat kacau dan menjadi tidak dapat dibaca oleh pengguna.
- Munculan ditampilkan setelahnya untuk meminta pengguna mengunduh font yang hilang dan menginstalnya setelah itu pada sistem. Unduhan itu adalah muatan serangan aktual yang mengandung kode berbahaya.
Munculan dibuat agar terlihat seolah-olah itu adalah permintaan resmi dari browser Chrome itu sendiri. Ini menampilkan logo Google, dan membaca:
Fon "HoeflerText" tidak ditemukan.
Halaman web yang Anda coba muat ditampilkan dengan tidak benar, karena menggunakan font "HoeflerText". Untuk memperbaiki kesalahan dan menampilkan teks, Anda harus memperbarui "Paket Font Chrome".
Ini menampilkan pabrikan (palsu) dan informasi versi Paket Font Chrome juga. Klik pada tombol pembaruan mengunduh file yang dapat dieksekusi (Chrome_font.exe) ke sistem, dan mengubah sembulan untuk menampilkan informasi tentang cara menjalankan file yang dapat dieksekusi untuk memperbarui font Chrome.
Catatan : Prompt, nama font yang hilang yang digunakan dalam serangan, dan nama file dapat diubah kapan saja oleh penyerang. Tidak perlu dikatakan bahwa Anda tidak harus mengklik tombol pembaruan, atau menginstal file yang dapat dieksekusi yang telah diunduh jika Anda telah melakukannya.
Apa yang bisa kamu lakukan
Satu-satunya pilihan yang Anda miliki adalah menunggu sampai pemilik situs memperbaiki situs web untuk menghapus skrip berbahaya yang berjalan di atasnya. Setelah selesai, itu harus kembali normal asalkan pembersihan itu menyeluruh.
Jika Anda perlu mengakses situs segera, periksa The Wayback Machine untuk mengetahui apakah ada salinan yang diarsipkan.
