Chrome: la fuente 'HoeflerText' no se encontró estafa

Es interesante desde un ángulo puramente científico cómo los atacantes crean nuevos métodos y esquemas para distribuir cargas útiles maliciosas en los sistemas de los usuarios.

La fuente 'HoeflerText' que no se encontró es un ataque reciente que cambia el texto del sitio web para que parezca que falta una fuente, para que los usuarios descarguen e instalen una supuesta actualización para Chrome que agrega la fuente al sistema.



Ya hablé de esto en el foro privado de Ghacks para obtener soporte en enero. El primer informe sobre el ataque provino de Proofpoint a mi leal saber y entender.

hoeflertext font wasnt found

El informe revela en detalle cómo funciona el ataque. La mayoría de los detalles técnicos detrás del ataque probablemente no sean tan interesantes para el usuario promedio de Chrome, por lo que aquí hay una breve descripción general de los datos importantes:



  1. El ataque requiere que el usuario visite un sitio web comprometido.
  2. La secuencia de comandos de ataque en el sitio verifica varios criterios (país, agente de usuario y referencia) y solo insertará la secuencia de comandos de fuente no encontrada en la página si se cumplen los criterios.
  3. Si ese es el caso, el script insertado reescribe toda la página para que parezca distorsionada y el usuario no pueda leerla.
  4. A continuación, se muestra una ventana emergente para pedirle al usuario que descargue la fuente que falta y la instale en el sistema. Esa descarga es la carga útil del ataque real que contiene código malicioso.

La ventana emergente está hecha para que parezca un mensaje oficial del propio navegador Chrome. Cuenta con un logotipo de Google y dice:

No se encontró la fuente 'HoeflerText'.

La página web que está intentando cargar se muestra incorrectamente, ya que utiliza la fuente 'HoeflerText'. Para corregir el error y mostrar el texto, debe actualizar el 'Paquete de fuentes de Chrome'.

También muestra información (falsa) del fabricante y de la versión del paquete de fuentes de Chrome. Un clic en el botón de actualización descarga un archivo ejecutable (Chrome_font.exe) al sistema y cambia la ventana emergente para mostrar información sobre cómo ejecutar el archivo ejecutable para actualizar las fuentes de Chrome.

Nota: Los atacantes pueden cambiar las indicaciones, el nombre de la fuente que falta y que se usa en el ataque y el nombre del archivo en cualquier momento. No hace falta decir que no debe hacer clic en el botón de actualización, ni instalar el archivo ejecutable descargado si lo ha hecho.

Lo que puedes hacer

La única opción que tiene es esperar hasta que el propietario del sitio lo arregle para eliminar los scripts maliciosos que se ejecutan en él. Una vez hecho esto, debería volver a la normalidad siempre que la limpieza haya sido completa.

Si necesita acceder al sitio de inmediato, consulte el La Maquina Wayback para averiguar si existe una copia archivada.