Chrome: a fonte "HoeflerText" não foi encontrada como golpe

É interessante, sob um ângulo puramente científico, como os invasores criam novos métodos e esquemas para distribuir cargas maliciosas nos sistemas dos usuários.

A fonte "HoeflerText" não foi encontrada é um ataque recente que altera o texto do site, para que pareça que falta uma fonte, para que os usuários baixem e instalem uma suposta atualização para o Chrome que adiciona a fonte ao sistema.

Eu falei sobre isso no fórum privado de Ghacks para suporte já em janeiro. O primeiro relatório sobre o ataque veio da Proofpoint, até onde sei.

O relatório revela em detalhes como o ataque funciona. A maioria dos detalhes técnicos por trás do ataque provavelmente não é tão interessante para o usuário médio do Chrome, então aqui está uma breve visão geral dos detalhes importantes:

  1. O ataque requer que o usuário visite um site comprometido.
  2. O script de ataque no site verifica vários critérios - país, agente do usuário e referenciador - e só inserirá o script de fonte não encontrada na página se os critérios forem atendidos.
  3. Se for esse o caso, a página inteira é reescrita pelo script inserido, para parecer ilegível e ficar ilegível para o usuário.
  4. Um pop-up é exibido posteriormente para solicitar ao usuário que baixe a fonte ausente e instale-a posteriormente no sistema. Esse download é a carga útil real do ataque que contém código malicioso.

O pop-up é feito para parecer um prompt oficial do próprio navegador Chrome. Possui um logotipo do Google e lê:

A fonte "HoeflerText" não foi encontrada.

A página da web que você está tentando carregar é exibida incorretamente, pois usa a fonte "HoeflerText". Para corrigir o erro e exibir o texto, você deve atualizar o "Chrome Font Pack".

Ele exibe informações sobre o fabricante (falso) e a versão do Chrome Font Pack. Um clique no botão atualizar baixa um arquivo executável (Chrome_font.exe) para o sistema e altera o pop-up para exibir informações sobre como executar o arquivo executável para atualizar as fontes do Chrome.

Nota : Os prompts, o nome da fonte ausente usada no ataque e o nome do arquivo podem ser alterados a qualquer momento pelos atacantes. Escusado será dizer que você não deve clicar no botão de atualização, nem instalar o arquivo executável baixado se tiver feito isso.

O que você pode fazer

A única opção que você tem é esperar até o proprietário do site corrigir o site para remover os scripts maliciosos em execução. Uma vez feito, ele deve voltar ao normal, desde que a limpeza seja completa.

Se você precisar acessar o site imediatamente, consulte a The Wayback Machine para descobrir se existe uma cópia arquivada dele.