各种浏览器的插件,虽然初衷是为了扩展浏览器的功能,但它们现在已经成为网络犯罪的另一项工具。今年早些时候,Google通过一项强制性措施来解决恶意浏览器插件的问题,那就是只允许安装 Chrome网络商店的插件。
虽然这个措施可以为使用者提供更高的安全性,但它并没有完全吓退网络犯罪分子,犯罪分子们仍不断尝试着去绕过此功能。我们最近遇到的恶意软件,就会向Google chrome上安装插件。
国外某社交平台上的恶意链接
在国外某社交平台的一则广告上,趋势科技发现一段短网址,点入该链接会将使用者引入一个网站,并自动下载一个exe程序到使用者的电脑上。
(国外某社交平台上的恶意链接)
这个被下载的程序(download-video.exe)其实是个恶意下载程序,被趋势科技检测为TROJ_DLOADE.DND。它接着会下载和植入一连串文件到系统内,而为了避免被怀疑,这些文件使用常见应用程序文件名,例如flash.exe,以避免被怀疑。
安装浏览器插件
除了下载和植入文件,这个恶意程序还会安装一个浏览器插件到系统上。它假装为 Flash Player 的升级插件。
(伪Flash Player插件)
为了绕过 Google 的安全措施,恶意软件会在 Google Chrome 的目录中建立一个文件夹,再将浏览器插件的组件放入其中:
json –包含浏览器插件说明(名称、载入脚本、版本等)。
crx-to-exe-convert.txt – 包含要载入的脚本,可以通过连接到特定网址来随时更新
为了让浏览器插件运作,浏览器接着会在控制下去解析植入组件 manifest.json 的信息。
(恶意软件执行前的插件文件夹)
(所建立的文件夹和植入的插件组件)
当使用者打开这些社交平台,插件就会在后台打开一个特定网站。该网站是用土耳其文所写,这一行为可能是点击诈骗或重新导向骗局的一部分。
(土耳其文网站)
对策
社交媒体已经成为常用的社交工程(socialengineering)诱饵。然而,虽然安全威胁出现的次数很频繁,却并没有减少社交媒体的有效程度。例如当我们发现时,上述威胁所在的那篇文章已经被转发超过 6000次了。这表示,这个骗局已经在社交平台上得手好一阵子,早已罗织出一张大网来捕捉潜在的受害者。
趋势科技也建议使用者只从官方和有信誉的来源安装浏览器插件。虽然 Chrome 已经采取了一些安全措施,但这不能保证其他浏览器也会有类似的对策。