Οι δημιουργοί malware γίνονται όλο και πιο επιδέξιοι στην προσπάθεια να μολύνουν το σύστημά μας. Ένα νέο malware που μολύνει ιστοσελίδες θα
επιχειρήσει να μας πείσει να το περάσουμε στον υπολογιστή μας,
εμφανίζοντας ένα μήνυμα..."Font wasn't found" στον Google Chrome. Δείτε τι ισχύει και τι πρέπει να προσέχουμε.
Τι είναι το "font wasn't found"
Στις 18 Φεβρουαρίου 2017, ο Mahmoud Al-Qudsi της σελίδας NeoSmart Technologies μπήκε σε ένα WordPress site που είχε μολυνθεί από κακόβουλο λογισμικό. Ο Al-Qudsi δεν αποκάλυψε το όνομα της ιστοσελίδας, για ευνόητους λόγους.
Αυτό που ήταν χαρακτηριστικό στη συγκεκριμένη ιστοσελίδα ήταν πως το κείμενο είχε αντικατασταθεί από μη αναγνώσιμους χαρακτήρες. Ταυτόχρονα, ο Chrome εμφάνισε ένα μήνυμα πως δήθεν λείπει η γραμματοσειρά "HoefferText".
Αυτό είναι το μήνυμα σε πλήρη μεγέθυνση.
Πώς λειτουργεί η επίθεση
Αν ο ανυποψίαστος χρήστης πατήσει το Update, θα κατεβάσει ένα αρχείο με το όνομα Chrome Font v7.5.1.exe. Ταυτόχρονα το μήνυμα θα αλλάξει ώστε να "βοηθήσει" το χρήστη με την εγκατάσταση.
Τη στιγμή που γράφονται αυτές οι γραμμές, ο Chrome δεν αναγνωρίζει το αρχείο σαν κακόβουλο λογισμικό. Θα βγάλει όμως μια προειδοποίηση πως αυτό το αρχείο δεν το κατεβάζουν συχνά και ίσως είναι επικίνδυνο.
Ελέγχοντας το αρχείο στο Virustotal, o Al-Qudsi διαπίστωσε πως δεν το είχε ξανανεβάσει κάποιος. Επίσης, μόνο 9 από τις 59 μηχανές ελέγχου το αναγνώριζαν σαν κακόβουλο.
Μάλιστα, ακόμα και τη στιγμή που γράφονται αυτές οι γραμμές, σχεδόν πέντε ημέρες αργότερα, τα αποτελέσματα είναι τα ίδια.
Δεν έχουμε κάποια αναφορά αν κάποιο αντίστοιχο μήνυμα εμφανίζεται στον Firefox ή σε άλλους browsers.
Τι κάνει αυτή την επίθεση επικίνδυνη
Η επίθεση "font wasn't found" είναι αρκετά αληθοφανής για να ξεγελάσει ακόμα και σχετικά έμπειρους χρήστες.
Κατ' αρχάς, η HoeflerText είναι μια πραγματική γραμματοσειρά. Δεν γνωρίζουμε αν είναι δημοφιλής σε ιστοσελίδες, σίγουρα όμως δεν είναι κάποιο δήθεν όνομα.
Σε συνδυασμό λοιπόν με το γεγονός πως στη σελίδα δεν φαίνεται σωστά κανένα γράμμα - κάτι που επιτυγχάνει η μόλυνση μέσω JavaScript - η έλλειψη γραμματοσειράς φαίνεται λογική.
Επίσης, το μήνυμα είναι αρκετά καλοσχεδιασμένο, και πείθει πως προέρχεται από τον ίδιο το browser. Έχει το σωστό λογότυπο, το σωστό χρώμα στο κουμπί update, και η γραμματική και η ορθογραφία δεν έχουν κανένα σοβαρό πρόβλημα.
Για όσους χρησιμοποιούν τον Chrome στα αγγλικά, τίποτα δεν φαίνεται ιδιαίτερα παράξενο.
Η μόνη πραγματική παραφωνία είναι πως το μήνυμα αναφέρει μια έκδοση 53.0.2785.89 για τον Chrome, που είναι ενσωματωμένη σε αυτό, ανεξάρτητα από την έκδοση που έχουμε.
Οι περισσότεροι χρήστες, όμως, δεν γνωρίζουν ανά πάσα στιγμή την έκδοση του Chrome που τρέχουν, ειδικά από τη στιγμή που οι αναβαθμίσεις γίνονται αυτόματα. Μπορούμε να βρούμε την έκδοση του Chrome από τη βοήθεια.
Μπορούμε επίσης να γράψουμε chrome://help στη γραμμή διευθύνσεων Η νεότερη έκδοση τη στιγμή που γράφονται αυτές οι γραμμές είναι η 56.0.2924.87.
Αν έχουμε παλαιότερη έκδοση, ο Chrome θα μας ενημερώσει αν υπάρχει αναβάθμιση.
Κινδυνεύω από το μήνυμα "font wasn't found"?
Προς το παρόν αυτή η επίθεση δεν φαίνεται να είναι διαδεδομένη. Ο Mahmoud Al-Qudsi δεν αναφέρει να την έχει συναντήσει σε άλλο site. Ούτε έχουν εξετάσει αρκετοί χρήστες το αρχείο με το Virustotal.
Δεν υπάρχει λοιπόν λόγος πανικού. Το πιθανότερο είναι πως οι περισσότεροι χρήστες δεν θα συναντήσουν ποτέ αυτή τη μόλυνση με αυτό το μήνυμα.
Το μάθημα είναι πως καλό είναι να το εξετάσουμε κριτικά οτιδήποτε κατεβάζουμε. Ακόμα και να φαίνεται να μας το πρότεινε ο browser. Επίσης, να ελέγχουμε όποιο αρχείο κατεβάσουμε, ειδικά αν έχει κάποια από τις επικίνδυνες επεκτάσεις.
Έχετε συναντήσει ποτέ αντίστοιχα ύποπτα μηνύματα από ιστοσελίδες?
Αν έχετε συναντήσει κάποιο αντίστοιχο μήνυμα κατά την πλοήγησή σας στο ίντερνετ, ή ακόμα και το ίδιο το "font wasn't found", γράψτε μας στα σχόλια.
Posted by Anexartitos.Ta.Nea team
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου