Sovende farver

En malvertiserende kampagne, der spreder invasive browserudvidelser, har formået at samle over en million installationer. De cyberkriminelle har udgivet 30 forskellige varianter af disse udvidelser, spredt ud over Chrome og Edge Web-butikkerne. Alle udvidelserne præsenteres som værktøjer, der giver brugerne mulighed for at tilpasse farveskemaerne på besøgte websteder og indeholde ordet 'farve' som en del af deres navne - Mega Colors , Colors Scale , Border Colors og mange flere. Hele kampagnen blev navngivet 'Dormant Colors' af cybersikkerhedsforskere, der udgav en detaljeret rapport om den.

Infektionskæde

Brugere lokkes til de påtrængende udvidelser ved først at besøge et tvivlsomt websted, der angiveligt leverer videoindhold eller filer til download. I stedet vil besøgende se annoncer for eller blive omdirigeret til et andet websted, idet de hævder, at de først skal installere en browserudvidelse for at fortsætte. Ved at acceptere de præsenterede prompter vil brugerne acceptere installationen af en af 'farver' browserudvidelserne.

Når udvidelsen er aktiveret på systemet, begynder den at omdirigere brugere til yderligere sider, der har mulighed for at sideindlæse beskadigede scripts. På denne måde vil udvidelsen modtage instruktioner om, hvordan man fortsætter med sin søgekapring, og på hvilke specifikke websteder, der skal injicere affilierede links. I praksis, når brugere starter en søgning, vil deres søgeforespørgsel blive kapret, og de vil blive præsenteret for resultater, der indeholder websteder tilknyttet operatørerne af PUP (Potentially Unwanted Program), hvilket genererer overskud til dem via annoncevisninger eller potentielt salg af søge data.

Udnyttelse af affilierede programmer

Browserudvidelserne til Sovende farver-kampagnen kan opsnappe brugernes browsing og automatisk føre dem til en side fra en omfattende liste på 10.000 websteder, som vil have tilknyttede links knyttet til deres URL. Bagefter vil alle køb foretaget på den besøgte side også generere penge til svindlerne på grund af det medfølgende tilknyttede tag.

Cybersikkerhedsforskere advarer om, at operatørerne af Dormant Colors nemt kan begynde at udføre langt mere truende handlinger. Ved at bruge den samme kompromitterede kode-side-indlæsningsteknik kunne de omdirigere ofre til dedikerede phishing-sider, der optræder som legitime domæner eller login-portaler. De falske sider kan bede brugerne om at give følsomme oplysninger, som derefter kan blive tilgængelige for svindlerne. Ofre risikerer at få deres kontooplysninger til vigtige applikationer - Microsoft 365, banker, Google Workspace eller sociale medieplatforme kompromitteret.