Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Chrome: Une fausse extension flash player utilisé pour de la fraude au clic

5 Septembre 2014 , Rédigé par nicko Publié dans #informatique

Chrome: Une fausse extension flash player utilisé pour de la fraude au clic

Une extension de Google Chrome censée fournir Flash Player d'Adobe a été trouvé, il lance un site web apparemment créé pour de la fraude au clic, activation ce fait par l'ouverture de Facebook ou de Twitter.

Chrome: Une fausse extension flash player utilisé pour de la fraude au clic

L'ensemble du processus est assez complexe, car il implique le téléchargement de plusieurs fichiers sur l'ordinateur et contourne la protection récente ajouté à Chrome contre l'installation d'extensions de navigateur qui ne sont pas dans le Chrome Web Store.

Chrome: Une fausse extension flash player utilisé pour de la fraude au clic

Tout commence par un tweet d'appâtage qui annonce un "Secrets Facebook", prétendant montrer des vidéos qui ne sont pas accessibles au public, et offre un lien raccourci pour l'obtenir.

Le fichier téléchargé est un compte-gouttes les logiciels malveillants avec le nom "download-video.exe», explique l analyst' Sylvia Lascano de Trend Micro, il est détecté par les produits de l'entreprise de sécurité en tant que TROJ_DLOADE.DND.

Il est utilisé pour canaliser les logiciels malveillants supplémentaires dans le système, une extension du navigateur Chrome qui se fait passer pour Flash Player étant parmi eux. Cela pourrait être utilisé pour des menaces plus agressives conçus pour dérober des informations d'identification pour les services en ligne.

"Afin de contourner la sécurité de la politique de Google, le malware va créer un dossier dans le répertoire de Google Chrome où il deviendrat un composants d'extension du navigateur", écrit Lascano dans un billet de blog .

L'extension et le script ("crx-à-exe-convert.txt») qui doit être chargé sont ajoutés dans le dossier d'extension de Chrome. Après tout les données sont analysées par le navigateur, l'extension est prête à travailler.

Bien que Google a mis en œuvre une mesure de sécurité contre les composants du navigateur venant de l'extérieur du Web Strore afin d'éliminer les risques pour les utilisateurs, ceux-ci peuvent encore être temporairement installés
manuellement.

Cependant, dès que le navigateur est redémarré, les pièces qui ne sont pas conformes à la politique sont automatiquement démarrés à partir de Chrome et l'ensemble du processus d'installation manuelle doit être répétée.

Nous avons contacté Trend Micro pour plus d'informations sur le contournement du processus sécurisé dans Chrome, mais aucune réponse n'a pas encore été reçu.

Lascano dit que l'extension se repose tranquillement dans le navigateur jusqu'au chargement des sites Facebook ou Twitter. C'est a ce moment là qu'il entre en jeu et lance en arrière-plan d'un site en turc.

"Le site est rédigé en turc et des messages tels que des« paroles amères, '' paroles lourdes, '' paroles significatives, '' des messages d'amour, »et les« paroles d'amour »apparaissent sur la page. Cette routine peut être une partie d'une fraude au clic ou système de redirection ", explique l'analyste.

Il semble que les tweets promotionel du logiciels malveillants initiale a bénéficié d'une large diffusion, comme ils l'avaient été partagée plus de 6000 fois au moment de la découverte.

Le fait que le lien a été raccourcie, et que donc les utilisateurs n'ont pas la visibilité de l'endroit où il se dirige, couplé avec la promesse de révéler des secrets, cela a contribué à la diffusion de la campagne.

Les conseils pour protéger votre ordinateur contre ce type de menaces est
de s'abstenir d'accéder à des liens provenant de sources suspectes.

Source: Softpedia

Partager cet article

Repost 0

Commenter cet article