警惕能回避Chrome 插件安全功能的伪 Flash Player 插件

Sammi888

各种浏览器的插件，虽然初衷是为了扩展浏览器的功能，但它们现在已经成为网络犯罪的另一项工具。今年早些时候，Google通过一项强制性措施来解决恶意浏览器插件的问题，那就是只允许安装 Chrome网络商店的插件。

虽然这个措施可以为使用者提供更高的安全性，但它并没有完全吓退网络犯罪分子，犯罪分子们仍不断尝试着去绕过此功能。我们最近遇到的恶意软件，就会向Google chrome上安装插件。
国外某社交平台上的恶意链接
在国外某社交平台的一则广告上，趋势科技发现一段短网址，点入该链接会将使用者引入一个网站，并自动下载一个exe程序到使用者的电脑上。

（国外某社交平台上的恶意链接）
这个被下载的程序（download-video.exe）其实是个恶意下载程序，被趋势科技检测为TROJ_DLOADE.DND。它接着会下载和植入一连串文件到系统内，而为了避免被怀疑，这些文件使用常见应用程序文件名,例如flash.exe，以避免被怀疑。
安装浏览器插件
除了下载和植入文件，这个恶意程序还会安装一个浏览器插件到系统上。它假装为 Flash Player 的升级插件。

（伪Flash Player插件）
为了绕过 Google 的安全措施，恶意软件会在 Google Chrome 的目录中建立一个文件夹，再将浏览器插件的组件放入其中：
    json – 包含浏览器插件说明（名称、载入脚本、版本等）。
    crx-to-exe-convert.txt – 包含要载入的脚本，可以通过连接到特定网址来随时更新
为了让浏览器插件运作，浏览器接着会在控制下去解析植入组件 manifest.json 的信息。

（恶意软件执行前的插件文件夹）

（所建立的文件夹和植入的插件组件）
当使用者打开这些社交平台，插件就会在后台打开一个特定网站。该网站是用土耳其文所写，这一行为可能是点击诈骗或重新导向骗局的一部分。

（土耳其文网站）
对策
社交媒体已经成为常用的社交工程（social engineering）诱饵。然而，虽然安全威胁出现的次数很频繁，却并没有减少社交媒体的有效程度。例如当我们发现时，上述威胁所在的那篇文章已经被转发超过 6000次了。这表示，这个骗局已经在社交平台上得手好一阵子，早已罗织出一张大网来捕捉潜在的受害者。
趋势科技也建议使用者只从官方和有信誉的来源安装浏览器插件。虽然 Chrome 已经采取了一些安全措施，但这不能保证其他浏览器也会有类似的对策。

ljy_0119

为什么我用了趋势后，看一些视频会黑屏，怎么设置才能打开？