Chrome: Die Schriftart „HoeflerText“ wurde nicht als Betrug gefunden

Aus rein wissenschaftlicher Sicht ist es interessant, wie Angreifer neue Methoden und Schemata entwickeln, um böswillige Nutzdaten auf Benutzersysteme zu verteilen.

Die Schriftart „HoeflerText“ wurde nicht gefunden. Es handelt sich um einen kürzlich durchgeführten Angriff, bei dem der Website-Text so geändert wird, dass es so aussieht, als ob eine Schriftart fehlt, damit Benutzer ein angebliches Update für Chrome herunterladen und installieren können, mit dem die Schriftart dem System hinzugefügt wird.

Ich habe bereits im Januar im privaten Ghacks-Forum darüber gesprochen, um Unterstützung zu erhalten. Der erste Bericht über den Angriff kam von Beweispunkt nach bestem Wissen.

hoeflertext font wurde nicht gefunden

Der Bericht zeigt detailliert, wie der Angriff funktioniert. Die meisten technischen Details hinter dem Angriff sind für den durchschnittlichen Chrome-Nutzer wahrscheinlich nicht so interessant. Hier ein kurzer Überblick über die wichtigen Leckerbissen:

  1. Der Angriff erfordert, dass der Benutzer eine gefährdete Website besucht.
  2. Das Angriffsskript auf der Site überprüft verschiedene Kriterien – Land, Benutzeragent und Verweis – und fügt nur dann das Skript ein, das nicht gefunden wurde, wenn die Kriterien erfüllt sind.
  3. In diesem Fall wird die gesamte Seite durch das eingefügte Skript neu geschrieben, sodass sie verstümmelt aussieht und für den Benutzer nicht mehr lesbar ist.
  4. Anschließend wird ein Popup angezeigt, in dem der Benutzer aufgefordert wird, die fehlende Schriftart herunterzuladen und anschließend auf dem System zu installieren. Dieser Download ist die eigentliche Angriffsnutzlast, die schädlichen Code enthält.

Das Popup sieht so aus, als wäre es eine offizielle Eingabeaufforderung des Chrome-Browsers. Es verfügt über ein Google-Logo und lautet:

Die Schriftart „HoeflerText“ wurde nicht gefunden.

Die Webseite, die Sie laden möchten, wird falsch angezeigt, da die Schriftart „HoeflerText“ verwendet wird. Um den Fehler zu beheben und den Text anzuzeigen, müssen Sie das „Chrome Font Pack“ aktualisieren.

Es werden auch (gefälschte) Hersteller- und Chrome Font Pack-Versionsinformationen angezeigt. Durch Klicken auf die Schaltfläche „Aktualisieren“ wird eine ausführbare Datei (Chrome_font.exe) auf das System heruntergeladen und das Popup so geändert, dass Informationen zum Ausführen der ausführbaren Datei zum Aktualisieren von Chrome-Schriftarten angezeigt werden.

Hinweis: Die Eingabeaufforderungen, der Name der fehlenden Schriftart, die für den Angriff verwendet wird, und der Dateiname können von Angreifern jederzeit geändert werden. Es versteht sich von selbst, dass Sie weder auf die Schaltfläche „Aktualisieren“ klicken noch die heruntergeladene ausführbare Datei installieren sollten, wenn Sie dies getan haben.

Was du tun kannst

Sie können nur warten, bis der Websitebesitzer die Website repariert, um die darauf ausgeführten schädlichen Skripts zu entfernen. Sobald dies erledigt ist, sollte es wieder normal sein, vorausgesetzt, die Reinigung war gründlich.

Wenn Sie sofort auf die Site zugreifen müssen, lesen Sie die Die Wayback-Maschine um herauszufinden, ob eine archivierte Kopie davon vorhanden ist.