رنگ های خفته

یک کمپین بد تبلیغاتی که برنامه‌های افزودنی تهاجمی مرورگر را گسترش می‌دهد، توانسته است بیش از یک میلیون نصب داشته باشد. مجرمان سایبری 30 نوع مختلف از این افزونه‌ها را منتشر کرده‌اند که در فروشگاه‌های Chrome و Edge Web پخش شده‌اند. همه برنامه‌های افزودنی به عنوان ابزار ارائه می‌شوند و به کاربران این امکان را می‌دهند که طرح‌های رنگی را در وب‌سایت‌های بازدید شده سفارشی کنند و کلمه «color» را به عنوان بخشی از نام‌های خود در بر گیرند - رنگ‌های مگا ، مقیاس رنگ ، رنگ‌های حاشیه ، و بسیاری موارد دیگر. تمامی این کمپین توسط محققان امنیت سایبری «رنگ‌های خفته» نامگذاری شد و گزارش مفصلی در مورد آن منتشر کردند.

زنجیره عفونت

کاربران ابتدا با بازدید از یک وب سایت مشکوک که ظاهرا محتوای ویدیویی یا فایل هایی را برای دانلود ارائه می دهد، به سمت افزونه های مزاحم جذب می شوند. درعوض، بازدیدکنندگان تبلیغاتی را برای سایت دیگری می‌بینند یا به سایت دیگری هدایت می‌شوند و ادعا می‌کنند که برای ادامه باید ابتدا یک افزونه مرورگر نصب کنند. با موافقت با دستورات ارائه شده، کاربران نصب یکی از پسوندهای مرورگر "رنگ" را می پذیرند.

هنگامی که برنامه افزودنی در سیستم فعال می شود، کاربران را به صفحات دیگری هدایت می کند که قابلیت بارگذاری جانبی اسکریپت های خراب را دارند. به این ترتیب، برنامه افزودنی دستورالعمل‌هایی را در مورد نحوه ادامه جستجوی ربودن خود و در چه سایت‌های خاصی برای تزریق پیوندهای وابسته دریافت می‌کند. در عمل، هنگامی که کاربران جستجو را آغاز می کنند، درخواست جستجوی آنها ربوده می شود و نتایج حاوی سایت های وابسته به اپراتورهای PUP (برنامه ناخواسته بالقوه) به آنها ارائه می شود که از طریق نمایش تبلیغات یا فروش بالقوه برای آنها سود ایجاد می کند. داده های جستجو

بهره برداری از برنامه های وابسته

افزونه های مرورگر کمپین Dormant Colors می توانند مرور کاربران را رهگیری کنند و به طور خودکار آنها را به صفحه ای از فهرست گسترده ای از 10000 وب سایت هدایت کنند که پیوندهای وابسته به URL آنها اضافه شده است. پس از آن، هر گونه خریدی که در صفحه بازدید شده انجام شود، به دلیل برچسب وابسته شامل پول برای کلاهبرداران نیز ایجاد می کند.

محققان امنیت سایبری هشدار می‌دهند که اپراتورهای Dormant Colors به راحتی می‌توانند اقدامات بسیار تهدیدآمیزتری را انجام دهند. با استفاده از همان تکنیک بارگذاری کد به خطر افتاده، آنها می توانند قربانیان را به صفحات فیشینگ اختصاصی که به عنوان دامنه های قانونی یا پورتال های ورود معرفی می شوند هدایت کنند. سایت‌های جعلی می‌توانند از کاربران بخواهند اطلاعات حساسی را ارائه کنند که سپس در دسترس کلاهبرداران قرار گیرد. قربانیان در معرض خطر داشتن اعتبار حساب کاربری خود برای برنامه‌های مهم هستند - Microsoft 365، بانک‌ها، Google Workspace یا پلتفرم‌های رسانه‌های اجتماعی در معرض خطر قرار می‌گیرند.