Colors latents

Una campanya malvertidora que difon extensions invasives del navegador ha aconseguit acumular més d'un milió d'instal·lacions. Els ciberdelinqüents han llançat 30 variants diferents d'aquestes extensions, repartides per les botigues Chrome i Edge Web. Totes les extensions es presenten com a eines, que ofereixen als usuaris la possibilitat de personalitzar els esquemes de colors als llocs web visitats i contenir la paraula "color" com a part dels seus noms: Mega Colors , Colors Scale , Border Colors i molts més. La campanya sencera va rebre el nom de "Colors dormits" pels investigadors de ciberseguretat que van publicar un informe detallat al respecte.

Cadena d'infecció

Els usuaris són atrets a les extensions intrusives visitant primer un lloc web dubtós que suposadament proporciona contingut de vídeo o fitxers per descarregar. En lloc d'això, els visitants veuran anuncis o seran redirigits a un lloc diferent, afirmant que primer han d'instal·lar una extensió del navegador per continuar. En acceptar les indicacions presentades, els usuaris acceptaran la instal·lació d'una de les extensions del navegador "colors".

Quan l'extensió s'activa al sistema, començarà a redirigir els usuaris a pàgines addicionals amb la possibilitat de carregar lateralment scripts danyats. D'aquesta manera, l'extensió rebrà instruccions sobre com procedir amb el seu segrest de cerca i sobre quins llocs específics injectar enllaços d'afiliació. A la pràctica, quan els usuaris inicien una cerca, la seva consulta de cerca serà segrestada, i se'ls presentarà resultats que contenen llocs afiliats als operadors del PUP (Programa Potencialment No desitjat), generant-los beneficis a través d'impressions d'anuncis o la venda potencial de dades de cerca.

Explotació de programes d'afiliació

Les extensions del navegador de la campanya Dormant Colors poden interceptar la navegació dels usuaris i portar-los automàticament a una pàgina d'una llista extensa de 10.000 llocs web que tindran enllaços afiliats a la seva URL. Després, qualsevol compra feta a la pàgina visitada també generarà diners per als estafadors, a causa de l'etiqueta d'afiliació inclosa.

Els investigadors de ciberseguretat adverteixen que els operadors de Dormant Colors podrien començar fàcilment a realitzar accions molt més amenaçadores. Mitjançant la mateixa tècnica de càrrega lateral de codi compromesa, podrien redirigir les víctimes a pàgines de pesca dedicades que es fan passar com a dominis legítims o portals d'inici de sessió. Els llocs falsos podrien demanar als usuaris que proporcionin informació sensible que després podria estar disponible per als estafadors. Les víctimes corren el risc de tenir les credencials del seu compte per a aplicacions importants: Microsoft 365, bancs, Google Workspace o plataformes de xarxes socials compromeses.