Спящи цветове

До Mezo през Potentially Unwanted Programs, Adware, Browser Hijackersг

Превод на:

Злоупотребяваща кампания, разпространяваща инвазивни разширения на браузъра, успя да натрупа над милион инсталации. Киберпрестъпниците пуснаха 30 различни варианта на тези разширения, разпространени в уеб магазините на Chrome и Edge. Всички разширения са представени като инструменти, предлагащи на потребителите възможността да персонализират цветовите схеми на посетените уебсайтове и да съдържат думата „цвят“ като част от имената си – Mega Colors , Colors Scale , Border Colors и много други. Цялата кампания беше наречена „спящи цветове“ от изследователи по киберсигурност, които публикуваха подробен доклад за нея.

Инфекциозна верига

Потребителите са привлечени към натрапчивите разширения, като първо посетят съмнителен уебсайт, за който се предполага, че предоставя видео съдържание или файлове за изтегляне. Вместо това посетителите ще видят реклами за или ще бъдат пренасочени към друг сайт, твърдейки, че първо трябва да инсталират разширение на браузъра, за да продължат. Съгласявайки се с представените подкани, потребителите ще приемат инсталирането на едно от разширенията на браузъра „цветове“.

Когато разширението се активира в системата, то ще започне да пренасочва потребителите към допълнителни страници, носещи възможност за странично зареждане на повредени скриптове. По този начин разширението ще получи инструкции как да продължи с отвличането на търсенето и в кои конкретни сайтове да инжектира партньорски връзки. На практика, когато потребителите започнат търсене, тяхната заявка за търсене ще бъде отвлечена и ще им бъдат представени резултати, съдържащи сайтове, свързани с операторите на PUP (Потенциално нежелана програма), генериращи печалби за тях чрез рекламни импресии или потенциална продажба на данни за търсене.

Използване на партньорски програми

Разширенията на браузъра на кампанията Dormant Colors могат да прихванат браузването на потребителите и автоматично да ги отведат до страница от обширен списък от 10 000 уебсайта, които ще имат свързани връзки, добавени към техния URL адрес. След това всички покупки, направени на посетената страница, също ще генерират пари за измамниците, поради включения таг за партньор.

Изследователите на киберсигурността предупреждават, че операторите на Dormant Colors могат лесно да започнат да извършват много по-заплашителни действия. Използвайки същата техника за странично зареждане на компрометиран код, те биха могли да пренасочат жертвите към специални фишинг страници, представящи се за легитимни домейни или портали за влизане. Фалшивите сайтове могат да поискат от потребителите да предоставят чувствителна информация, която след това може да стане достъпна за измамниците. Жертвите рискуват идентификационните данни на акаунта им за важни приложения - Microsoft 365, банки, Google Workspace или социални медийни платформи да бъдат компрометирани.