공격자가 악의적 인 페이로드를 사용자 시스템에 배포하는 새로운 방법과 체계를 찾는 방법은 완전히 과학적인 관점에서 흥미 롭습니다.
"HoeflerText"글꼴을 찾을 수 없음은 글꼴이없는 것처럼 보이도록 웹 사이트 텍스트를 변경하여 사용자가 시스템에 글꼴을 추가하는 Chrome 용 업데이트 업데이트를 다운로드하여 설치하도록하는 최근의 공격입니다.
나는 이미 1 월에 지원을 위해 개인 Ghacks 포럼에서 이것에 대해 이야기했습니다. 공격에 대한 첫 번째 보고서는 Proofpoint에서 내가 아는 한 최선의 정보였습니다.
이 보고서는 공격의 작동 방식을 자세히 보여줍니다. 공격의 배후에있는 대부분의 기술은 일반 Chrome 사용자에게는 그리 흥미롭지 않을 수 있으므로 다음과 같은 중요한 정보를 간단히 살펴 보겠습니다.
- 공격을하려면 사용자가 손상된 웹 사이트를 방문해야합니다.
- 사이트의 공격 스크립트는 국가, 사용자 에이전트 및 리퍼러 등 다양한 기준을 확인하고 기준을 충족하는 경우 페이지에서 글꼴을 찾을 수없는 스크립트 만 삽입합니다.
- 이 경우 삽입 된 스크립트가 전체 페이지를 다시 작성하여 왜곡되어 사용자가 읽을 수 없게합니다.
- 누락 된 글꼴을 다운로드하여 나중에 시스템에 설치하라는 메시지가 팝업으로 표시됩니다. 이 다운로드는 악성 코드가 포함 된 실제 공격 페이로드입니다.
팝업은 Chrome 브라우저 자체의 공식 프롬프트 인 것처럼 보이도록 만들어졌습니다. Google 로고가 있으며 다음과 같이 읽습니다.
"HoeflerText"글꼴을 찾을 수 없습니다.
로드하려는 웹 페이지가 "HoeflerText"글꼴을 사용하므로 잘못 표시됩니다. 오류를 수정하고 텍스트를 표시하려면 "Chrome Font Pack"을 업데이트해야합니다.
제조업체 및 Chrome 글꼴 팩 버전 정보도 표시합니다 (가짜). 업데이트 버튼을 클릭하면 실행 파일 (Chrome_font.exe)이 시스템에 다운로드되고 실행 파일을 실행하여 Chrome 글꼴을 업데이트하는 방법에 대한 정보가 표시되도록 팝업이 변경됩니다.
참고 : 공격에 사용되는 프롬프트, 누락 된 글꼴 이름 및 파일 이름은 공격자가 언제든지 변경할 수 있습니다. 업데이트 버튼을 클릭하지 말고 다운로드 한 실행 파일을 설치하면 안됩니다.
할 수있는 일
사이트 소유자가 웹 사이트를 수정하여 웹 사이트에서 실행중인 악성 스크립트를 제거 할 때까지 기다리는 것이 유일한 옵션입니다. 청소가 완료되면 정상으로 돌아갑니다.
사이트에 즉시 액세스해야하는 경우 Wayback Machine을 확인하여 아카이브 된 사본이 있는지 확인하십시오.
