警惕能回避Chrome 插件安全功能的伪 Flash Player 插件

来源:互联网 发布:始祖鸟gamma lt知乎 编辑:程序博客网 时间:2024/06/08 16:08


各种浏览器的插件,虽然初衷是为了扩展浏览器的功能,但它们现在已经成为网络犯罪的另一项工具。今年早些时候,Google通过一项强制性措施来解决恶意浏览器插件的问题,那就是只允许安装 Chrome网络商店的插件。


虽然这个措施可以为使用者提供更高的安全性,但它并没有完全吓退网络犯罪分子,犯罪分子们仍不断尝试着去绕过此功能。我们最近遇到的恶意软件,就会向Google chrome上安装插件。

国外某社交平台上的恶意链接

在国外某社交平台的一则广告上,趋势科技发现一段短网址,点入该链接会将使用者引入一个网站,并自动下载一个exe程序到使用者的电脑上。


(国外某社交平台上的恶意链接)

这个被下载的程序(download-video.exe)其实是个恶意下载程序,被趋势科技检测为TROJ_DLOADE.DND。它接着会下载和植入一连串文件到系统内,而为了避免被怀疑,这些文件使用常见应用程序文件名,例如flash.exe,以避免被怀疑。

安装浏览器插件

除了下载和植入文件,这个恶意程序还会安装一个浏览器插件到系统上。它假装为 Flash Player 的升级插件。


(伪Flash Player插件)

为了绕过 Google 的安全措施,恶意软件会在 Google Chrome 的目录中建立一个文件夹,再将浏览器插件的组件放入其中:

    json –包含浏览器插件说明(名称、载入脚本、版本等)。

    crx-to-exe-convert.txt – 包含要载入的脚本,可以通过连接到特定网址来随时更新

为了让浏览器插件运作,浏览器接着会在控制下去解析植入组件 manifest.json 的信息。


(恶意软件执行前的插件文件夹)


(所建立的文件夹和植入的插件组件)

当使用者打开这些社交平台,插件就会在后台打开一个特定网站。该网站是用土耳其文所写,这一行为可能是点击诈骗或重新导向骗局的一部分。


(土耳其文网站)

对策

社交媒体已经成为常用的社交工程(socialengineering)诱饵。然而,虽然安全威胁出现的次数很频繁,却并没有减少社交媒体的有效程度。例如当我们发现时,上述威胁所在的那篇文章已经被转发超过 6000次了。这表示,这个骗局已经在社交平台上得手好一阵子,早已罗织出一张大网来捕捉潜在的受害者。

趋势科技也建议使用者只从官方和有信誉的来源安装浏览器插件。虽然 Chrome 已经采取了一些安全措施,但这不能保证其他浏览器也会有类似的对策。

 

0 0
原创粉丝点击