假Flash播放器騙局已經出現了很長一段時間,不過很明顯地,它還沒有消失。
趨勢科技最近發現一波攻擊,利用Facebook訊息系統寄送影片連結給使用者。這「影片」會要求使用者安裝一個Flash Player更新程式,事實上它會安裝一個瀏覽器擴充功能以封鎖各個防毒軟體網站。它也會透過訊息系統來寄送「影片」連結給受害者的Facebook好友,開始重複這個循環。
這攻擊的針對性看起來的確發揮作用:根據趨勢科技主動式雲端截毒服務 Smart Protection Network的資料,訪問此攻擊相關網頁的連線有93%來自土耳其。
安裝到使用者系統上的擴充功能是Chromium基礎瀏覽器所使用的格式(像是Google Chrome)。它在其他瀏覽器(如Internet Explorer和Mozilla Firefox)上無法運作。它也會阻止使用者使用擴充功能設定頁面,以防止使用者移除或關閉該擴充功能。
正如前面所提到,這種威脅會不斷循環。假的更新程式被偵測為TROJ_BLOCKER.J,會安裝擴充功能(偵測為JS_BLOCKER.J)以封鎖防毒網站。JS_BLOCKER.J接著會下載寄送含有影片連結Facebook訊息的惡意腳本。這腳本被偵測為HTML_BLOCKER.K。
除了Facebook訊息,也發現有Twitter帳號「推廣」該網頁:
土耳其是世上最活躍的Facebook使用國家之一,擁有1900萬的每日活躍使用者和3300萬的每月活躍使用者。此外,這起攻擊的行為 – 封鎖防毒網站 – 並不會對使用者有主動的傷害,但會讓使用者在未來更容易遭受攻擊。
Facebook正在努力避免使用者遭遇這類攻擊。趨勢科技可偵測和封鎖此攻擊的相關檔案和網站以保護使用者。使用者還可以透過下列簡單的步驟來進一步地保護自己:
- 不要點入或存取任何出現在你塗鴉牆、個人檔案或私人訊息的陌生或不熟悉網址。
- 如果你被要求更新任何軟體,直接連到軟體廠商的網站進行更新,不要透過任何附加的連結。
- 使用可以自動封鎖惡意下載和詐騙網站的安全解決方案。如趨勢科技PC-cillin 雲端版, 即刻免費免費下載
@原文出處:Fake Adobe Flash Update Aimed At Turkish Users作者:Arabelle Mae Ebora(詐騙分析師)
