Nhà nghiên cứu bảo mật Mahmoud Al-Qudsi đã phát hiện một mã độc “drive-by-infection” (nhiễm độc do duyệt trang web) trên một trang WordPress. Mã độc này là một phần mềm giả mạo, sử dụng JavaScript để thay đổi cách thức văn bản được hiển thị trên trang web, sau đó đề nghị người dùng tải về bản sửa lỗi.
Al-Qudsi cho biết: Cuộc tấn công này đã đánh lừa người dùng vì trông nó khá đáng tin cậy: văn bản không hiển thị được, thông báo là do phông chữ bị thiếu và nhắc người dùng tải về, cài đặt bản sửa lỗi.
Màn hình hiển thị một cảnh báo trông khá hợp lý, được thiết kế bởi các tin tặc. Cảnh báo giả mạo này viết rằng: “Trang web bạn đang cố gắng tải chưa được hiển thị đúng vì sử dụng phông chữ Hoefler Text. Để khắc phục lỗi này và hiển thị được văn bản, bạn phải cập nhật Chrome Font Pack (Bộ Phông chữ của Chrome)”.
Bằng cách nhấp chuột vào nút “Cập nhật” màu xanh dương, chính xác như màu của Chrome, một tập tin có tên “Chrome Font v7.5.1.exe” được tải về và trang web cũng thay đổi theo để “giúp” người sử dụng chạy virus này.
Tập tin này không bị Windows Defender hay Chrome phát hiện là virus. Chỉ có 9/59 chương trình chống virus phát hiện tập tin này là nguy hiểm. VirusTotal tiết lộ rằng nếu bị nhiễm, mã độc này sẽ thăm dò các tập tin, tài liệu và có thể được sử dụng để theo dõi các tập tin quan trọng trong hệ thống Windows.
Trong khi Chrome không nhận định tập tin này là độc hại, nhưng nó vẫn bị chặn bằng cảnh báo “Tập tin này không thường xuyên được tải về”.
Tod Beardsley, Giám đốc nghiên cứu tại Rapid7 – đã nhận xét: “Hiện tại, các cuộc tấn công như thế này vẫn xuất hiện khá hạn chế trên các trang WordPress. Tuy nhiên, WordPress lại là nơi thu hút rất nhiều nạn nhân cho tin tặc”.
Người dùng Chrome nên chú ý rằng, các cảnh báo hợp pháp từ trình duyệt Chrome sẽ không bao giờ xuất hiện dưới dạng một phần của trang web. Cụ thể, Chrome không cung cấp bất kỳ chức năng nào để cài đặt phông chữ bị thiếu và tất cả lời nhắc cài đặt như vậy đều xuất phát từ các chiến dịch phần mềm hoặc quảng cáo độc hại.
Tuy nhiên, trong một số trường hợp ít gặp, trình duyệt vẫn cần thông tin cảnh báo về bảo mật hoặc cấu hình sai với người sử dụng. Những cảnh báo này sẽ xuất hiện dưới dạng một trang thay thế đầy đủ khác, như trang cảnh báo quen thuộc “Kết nối của bạn không được bảo mật” về các chứng chỉ SSL bị cấu hình sai.