趨勢科技發現偽Flash Player擴充套件 迴避擴充套件安全功能

雖然最開始的目的是為了擴充瀏覽器的功能，不過現在瀏覽器擴充套件已經成為網路犯罪計畫的另一項工具。今年早些時候，Google 透過一項強制性政策來解決惡意瀏覽器擴充套件的問題，就是只允許安裝 Chrome 網路商店的擴充套件。



雖然這政策可以為使用者提供更高的安全性，它並沒有完全嚇阻網路犯罪份子嘗試去繞過此功能。我們最近遇到惡意軟體會去安裝擴充套件到 Google chrome 上。

推特上的「Facebook Secrets」

趨勢科技發現一則推特上帶有短網址的貼文在廣告「Facebook Secrets」。點入該連結會將使用者導到一個網站去自動下載 EXE 檔到使用者的電腦上。


▲推特上的惡意連結。

這被下載的檔案（download-video.exe）其實是個惡意下載程式，被趨勢科技偵測為 TROJ_DLOADE.DND。它接著會下載和植入一連串檔案到系統內。為了避免被懷疑，這些檔案使用常見應用程式檔名, 例如 flash.exe, 避免被懷疑”

安裝瀏覽器擴充套件

除了下載和植入檔案，也會安裝一個瀏覽器擴充套件到系統上。它假裝為 Flash Player 的擴充套件。


▲偽 Flash Player 擴充套件。

為了繞過 Google 的安全性政策，惡意軟體會在 Google Chrome 的目錄中建立一個資料夾，再將瀏覽器擴充套件的組件放入其中：

• json – 包含瀏覽器擴充套件說明（名稱、載入腳本、版本等）。
• crx-to-exe-convert.txt – 包含要載入的腳本，可以透過連到特定網址來隨時更新要了讓瀏覽器擴充套件運作，瀏覽器接著會解析植入組件 manifest.json 的資訊。

▲惡意軟體執行前的擴充套件資料夾。


▲所建立的資料夾和植入的擴充套件組件。

當使用者打開臉書或推特，擴充套件會在背景打開一特定網站。該網站是用土耳其文所寫，出現像「更好的話」、「沈重的歌詞」、「有意義的歌詞」、「愛的訊息」和「愛的歌詞」等詞句在網頁上。此一行為可能是點擊詐騙或重新導向騙局的一部分。


▲土耳其文網站。

對策

社群媒體已經成為常用的社交工程（social engineering ）誘餌。然而，雖然出現的次數很頻繁，卻並沒有減少它的有效程度。例如當我們發現時，這推文已經被轉發超過 6000 次了。這表示這騙局已經在推特上得手好一陣子，羅織出一張大網來捕捉潛在的受害者。

趨勢科技也建議使用者只從官方和有信譽的來源安裝瀏覽器擴充套件。雖然 Chrome 已經採取了些安全措施，但不保證其他瀏覽器也會有。

資訊來源：趨勢科技部落格文章。

水杉而 於 2015-05-25 09:07:32 修改文章內容