Noha az átlag internetezőnek az elmúlt évtizedben nem nagyon volt dolga különálló betűkészlet installálásával, hébe-hóba előfordulhat, hogy szükség van egy, az éppen használt számítógépen nem telepített fontra. Az elkövetkező hetekben egyre gyakrabban kerülhetnek ilyen helyzetbe a Google Chrome-ot használók, ez azonban nem írható az amerikai keresőóriás számlájára.

Jól fontoljuk meg a telepítést!

Sőt, mi több, ha a Google-ön múlna, egyáltalán nem bukkanna fel betűkészlet-telepítésre vonatkozó felhívó üzenet a böngészőt futtatók monitorán. Az installálásra csábító font ugyanis valójában egy malware álcája.

Különösen akkor kell résen lenni, ha Hoefler Text névre hallgat a hiányzó betűkészlet (tehát nem Arial, Times New Roman vagy más, gyakran használt típusról szóló üzenettel fordul a Chrome az internetezőhöz). Valószínűleg a jelenséggel találkozók többségének gyanús lesz az ismeretlen név, de biztosan akadnak olyanok, akik az éppen olvasott tartalom folytatását megakadályozó üzenetet a lehető leghamarabb le akarják zárni. Elsősorban számukra íródott ez a figyelemfelkeltő cikk.

Annak érdekében, hogy másnak már ne kelljen kipróbálnia, a NeoSmart Technologies egyik kiberbiztonsági kutatója végigment a Hoefler telepítésén, miután szembetalálta magát vele egy kiszolgáltatottá vált Wordpress oldalon.

Hitelesnek tűnő álca

Elmondása szerint a támadók nagyon ügyesen alkották meg a malware-t, számos olyan csapdát elkerülve, amelybe más, hasonló próbálkozások beleesnek. Például nem egy kitalált betűkészletre hivatkozik, a Hoefler valóban létezik; a(z alábbiakban is látható) szöveg pedig egyáltalán nem renderelt, ami növeli az üzenet hihetőségét.
 

Letisztult, megfelelően formázott párbeszédablak jelenik meg az érintettek kijelzőjén, melyen az aktuális Chrome logó látható, illetve a frissítés gombja a megfelelő módon, kék színnel van árnyékolva. Még a formája is helyén valónak látszik, a megjelenő szöveg hibáktól mentes helyesírása és megfogalmazása pedig szintén erősíti a hivatalos üzenet imázsát, állítja a NeoSmart kutatója.

A folyamat végén egy futtatható állományt kapott a szakember és útmutatót arra vonatkozóan, hol lehet letölteni. Amennyiben valaki rákattint az Update gombra, akkor ennek eredményeként egy „Chrome Font v7.5.1.exe” nevű állományt kap, a weboldal pedig arra bíztatja a leendő áldozatot, hogy futtassa a file-t.

Felfutó szakaszban

A cikk írásának időpontjában a Windows Defender nem észleli kártevőként a malware-t, és a Chrome sem rendelkezik kiszűrésére alkalmas megoldással. A VirusTotal adatai szerint a fertőzési folyamat legelején vagyunk, az általuk nyilvántartott 59 antivírus szkennerből mindössze 9 ismeri fel megfelelően a digitális fenyegetést.