HoeflerText Font: neue Masche zur Infektion mit Schadsoftware

Auf einigen Blogs wird man als Google Chrome-Nutzer dazu aufgefordert, den HoeflerText Font zu installieren. Dabei handelt es sich um Erpresser-Software.

HoeflerText Font

Cyberkriminelle haben sich mal wieder etwas Neues einfallen lassen. Auf manipulierten Webseiten wird man als Nutzer des Browsers Google Chrome dazu aufgefordert, eine Schriftart namens HoeflerText Font zu installieren. Die Installation bleibt nicht ohne Folgen, denn die Erpresser-Software Spora erkennen nur die wenigsten Online-Virenscanner. Vom Browser wird die Betrugsmasche noch nicht als solche identifiziert oder unterbunden.

Hinter dem Font versteckt sich die Ransomware Spora

Betreiber eines WordPress-Blogs müssen schon seit mehreren Wochen zwingend ein Update durchführen, ansonsten machen sie es Erpressern sehr einfach. WP-Profi Kolja Sagorski rät zu einem automatischen Update, damit sicherheitsrelevante Verbesserungen zum Schutz der Surfer unverzüglich in WordPress eingebunden werden können.


Sofern die für Manipulationen anfällige Version von WordPress aktiv ist, können Hacker auf dem Blog ihren eigenen Code einschleusen, um diesen den Besuchern anzeigen zu lassen. So auch bei dieser neuen Masche, bei der alle Anwender des ansonsten als sicher geltenden Browsers Chrome hinter’s Licht geführt werden sollen. Mittels JavaScript wird der Text der Webseite unleserlich gemacht. Gleichzeitig taucht ein Fenster auf (siehe Screenshot oben), in dem man zur Installation vom HoeflerText Font aufgefordert wird.

Wer das tatsächlich tut, lässt die Erpresser-Software Spora auf seinen Computer. Kurze Zeit später ist der Computer nicht mehr nutzbar. Auch beim erneuten Booten wird man zur Zahlung eines Lösegeldes aufgefordert, der PC bleibt aber so oder so gesperrt. Das Dumme: Google muss aktiv werden. Bisher wird die Installation von Spora nicht vom Browser unterbunden. Zudem erkennen nur wenige Online-Virenscanner den Schädling.

Das Popup sieht wie eine offizielle Mitteilung des Browsers aus. Rein theoretisch müsste es die Anwender nachdenklich stimmen, wieso die Schrift im Fenster lesbar ist. Während man den Rest der Webseite im Hintergrund nur mit Sonderzeichen ausgefüllt hat!? Wenn es Probleme bei der Lesbarkeit gibt, müsste eigentlich entweder gar nichts oder alles lesbar sein. Natürlich ist die Versuchung groß, bei Problemen einfach ohne weitere Hintergedanken auf den Menüpunkt „Update“ zu klicken, dann aber ist es fast schon zu spät.

HoeflerText Font was not found?

Entdeckt hat das neue Verfahren die Firma NeoSmart Technologies. Ein Mitarbeiter schaute sich zufällig mehrere WordPress-Blogs an, bis er auf die merkwürdige Meldung mit dem angeblich fehlenden Font aufmerksam wurde. Aus Neugier hat er die ausführbare Datei Chrome Font v7.5.1.exe heruntergeladen, um sie zu analysieren. Chrome hat dies erlaubt. Anfängern erläutert man sogar kleinschrittig anhand von Grafiken, wie sie die Schadsoftware (respektive den Font) bei sich installieren können (siehe Screenshot unten). Der Testlauf beim Scanning-Dienstleister virustotal (auch eine Google-Tochter) ergab, dass nur 9 von 59 Online-Scannern erkennen konnten, dass es sich bei dieser .exe um Schadsoftware handelt. Die meisten Scanner haben ihre Nutzer noch nicht alarmiert. NeoSmart Tech hat das Sicherheitsteam von Chrome informiert. Man will die Anwender künftig davor bewahren, die ausführbare Datei ohne jede Warnung herunterladen zu können.

Den HoeflerText Font gibt es übrigens tatsächlich. Wer sie haben will, kann sich bei einem der kostenlosen Download-Portalen für Fonts bedienen.

HoeflerText Font

Tarnkappe.info

Über den Autor

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem bringt Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.