Вредоносная программа с легкостью обходит защиту расширений Chrome




Главная > Уроки > Флеш сайты > Вредоносная программа с легкостью обходит защиту расширений Chrome

Вредоносная программа с легкостью обходит защиту расширений Chrome

Автор/переводчик статьи: Команда сайта flashmaster.org.ua

Дата: 2014-10-22

Раскрыт новый трюк социальной инженерии, благодаря которому у пользователей устанавливается вредоносное расширение для Google Chrome, имитирующее Adobe Flash Player с целью втягивания жертв в клик-фрод.

Лучьше конечно скачать Гугл Хром на сайте www.download25.net. Там нету вирусов. 
Вредоносная программа запускается в результате перехода по сокращенным ссылкам из постов Facebook или Twitter. Кликнув по такой ссылке, жертва попадает на сайт, автоматически загружающий вредоносное браузерное расширение.

Вредоносная программа помещает на компьютер жертвы файл-загрузчик, скачивающий на него несколько файлов. Кроме того, зловредная программа умеет обходить не так давно появившуюся в Chrome защиту от установки расширений, отсутствующих в веб-магазине Chrome.

Злоумышленники публикуют заманчивые твиты, извещающие о “секретах Facebook” и предлагающие посмотреть приватные видео, в сочетании с укороченной ссылкой, якобы ведущей к видео. Любопытные пользователи кликали на ссылки, чтобы скачать видео.

Пользователи не подозревают, что скачиваемый ими файл является трояном-дроппером под названием “download-video.exe”. Потом этот файл загружает на компьютеры жертв дополнительные вредоносные программы, в том числе расширение для Chrome, выдающее себя за Flash Player, с помощью которого можно было бы украсть учетные данные пользователей от различных сайтов.

Чтобы избежать обнаружения, вредоносная программа обходит политику безопасности Google, допускающую установку только расширений, размещенных в веб-магазине Chrome, путем создания папки в каталоге браузера, куда программа помещает «компоненты браузерного расширения».
В папку расширения Chrome добавляются следующие компоненты:
manifest.json – содержит описание расширения - имя, загружаемый скрипт, версия и т.д.
crx-to-exe-convert.txt – содержит загружаемый скрипт, который может быть обновлен в любое время путем подключения к конкретному URL.
После того как браузер разберет все данные в manifest.json, расширение готово к работе.
Как только расширение установлено, если пользователь заходит на Facebook или Twitter, расширение скрытно открывает на заднем плане определенный сайт на турецком языке, являющийся частью схемы клик-фрода или перенаправления.
Когда злокозненная деятельность была раскрыта, твитами, распространяющими троян-дроппер, поделилось более 6000 человек.
Киберпреступники воспользовались укороченными ссылками для обмана большого числа жертв из-за того, что не видно, куда ведет такая ссылка, что способствует распространению трояна.
Чтобы защитить свой компьютер от подобных угроз, не кликайте по сомнительным ссылкам.

Просмотров: 441


Понравился материал? Поделись с друзьями!





Подписаться на рассылку.

При перепечатки материалов ссылка на наш сайт обязательна!


 1