查看: 3997|回复: 1
收起左侧

[分享] 警惕能回避Chrome 插件安全功能的伪 Flash Player 插件

[复制链接]
Sammi888
发表于 2014-9-25 14:50:03 | 显示全部楼层 |阅读模式

各种浏览器的插件,虽然初衷是为了扩展浏览器的功能,但它们现在已经成为网络犯罪的另一项工具。今年早些时候,Google通过一项强制性措施来解决恶意浏览器插件的问题,那就是只允许安装 Chrome网络商店的插件。

虽然这个措施可以为使用者提供更高的安全性,但它并没有完全吓退网络犯罪分子,犯罪分子们仍不断尝试着去绕过此功能。我们最近遇到的恶意软件,就会向Google chrome上安装插件。
国外某社交平台上的恶意链接
在国外某社交平台的一则广告上,趋势科技发现一段短网址,点入该链接会将使用者引入一个网站,并自动下载一个exe程序到使用者的电脑上。

(国外某社交平台上的恶意链接)
这个被下载的程序(download-video.exe)其实是个恶意下载程序,被趋势科技检测为TROJ_DLOADE.DND。它接着会下载和植入一连串文件到系统内,而为了避免被怀疑,这些文件使用常见应用程序文件名,例如flash.exe,以避免被怀疑。
安装浏览器插件
除了下载和植入文件,这个恶意程序还会安装一个浏览器插件到系统上。它假装为 Flash Player 的升级插件。

(伪Flash Player插件)
为了绕过 Google 的安全措施,恶意软件会在 Google Chrome 的目录中建立一个文件夹,再将浏览器插件的组件放入其中:
    json – 包含浏览器插件说明(名称、载入脚本、版本等)。
    crx-to-exe-convert.txt – 包含要载入的脚本,可以通过连接到特定网址来随时更新
为了让浏览器插件运作,浏览器接着会在控制下去解析植入组件 manifest.json 的信息。

(恶意软件执行前的插件文件夹)

(所建立的文件夹和植入的插件组件)
当使用者打开这些社交平台,插件就会在后台打开一个特定网站。该网站是用土耳其文所写,这一行为可能是点击诈骗或重新导向骗局的一部分。

(土耳其文网站)
对策
社交媒体已经成为常用的社交工程(social engineering)诱饵。然而,虽然安全威胁出现的次数很频繁,却并没有减少社交媒体的有效程度。例如当我们发现时,上述威胁所在的那篇文章已经被转发超过 6000次了。这表示,这个骗局已经在社交平台上得手好一阵子,早已罗织出一张大网来捕捉潜在的受害者。
趋势科技也建议使用者只从官方和有信誉的来源安装浏览器插件。虽然 Chrome 已经采取了一些安全措施,但这不能保证其他浏览器也会有类似的对策。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ljy_0119
发表于 2014-9-25 15:47:18 | 显示全部楼层
为什么我用了趋势后,看一些视频会黑屏,怎么设置才能打开?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 04:51 , Processed in 0.136606 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表