Es interesante desde un punto de vista puramente científico cómo los atacantes crean nuevos métodos y esquemas para distribuir cargas maliciosas en los sistemas de los usuarios.
No se encontró la fuente "HoeflerText" es un ataque reciente que cambia el texto del sitio web para que parezca que falta una fuente, para que los usuarios descarguen e instalen una supuesta actualización para Chrome que agrega la fuente al sistema.
Ya hablé de esto en el foro privado de Ghacks para obtener soporte en enero. El primer informe sobre el ataque vino de Proofpoint, que yo sepa.
El informe revela en detalle cómo funciona el ataque. La mayoría de los tecnicismos detrás del ataque probablemente no sean tan interesantes para el usuario promedio de Chrome, así que aquí hay una breve descripción de los datos importantes:
- El ataque requiere que el usuario visite un sitio web comprometido.
- El script de ataque en el sitio verifica varios criterios (país, agente de usuario y referencia) y solo insertará el script de fuente no encontrada en la página si se cumplen los criterios.
- Si ese es el caso, la secuencia de comandos insertada reescribe toda la página para que parezca ilegible y se vuelva ilegible para el usuario.
- Luego se muestra una ventana emergente para solicitar al usuario que descargue la fuente faltante y la instale luego en el sistema. Esa descarga es la carga de ataque real que contiene código malicioso.
La ventana emergente se ve como si fuera un mensaje oficial del navegador Chrome. Cuenta con un logotipo de Google y lee:
No se encontró la fuente "HoeflerText".
La página web que está intentando cargar se muestra incorrectamente, ya que utiliza la fuente "HoeflerText". Para corregir el error y mostrar el texto, debe actualizar el "Paquete de fuentes de Chrome".
También muestra la información del fabricante (falso) y la versión de Chrome Font Pack. Un clic en el botón de actualización descarga un archivo ejecutable (Chrome_font.exe) al sistema y cambia la ventana emergente para mostrar información sobre cómo ejecutar el archivo ejecutable para actualizar las fuentes de Chrome.
Nota : Los avisos, el nombre de la fuente faltante que se usa en el ataque y el nombre del archivo pueden cambiarlo en cualquier momento por los atacantes. No hace falta decir que no debe hacer clic en el botón de actualización, ni instalar el archivo ejecutable descargado si lo ha hecho.
Lo que puedes hacer
La única opción que tiene es esperar hasta que el propietario del sitio corrija el sitio web para eliminar los scripts maliciosos que se ejecutan en él. Una vez hecho esto, debe volver a la normalidad siempre que la limpieza haya sido completa.
Si necesita acceder al sitio de inmediato, consulte The Wayback Machine para averiguar si existe una copia archivada del mismo.
