Alvó színek

Az invazív böngészőbővítményeket terjesztő rosszindulatú kampány több mint egymillió telepítést tudott felhalmozni. A kiberbűnözők e bővítmények 30 különböző változatát adták ki, amelyek a Chrome és az Edge webáruházakban elterjedtek. Valamennyi bővítmény eszközként jelenik meg, lehetővé téve a felhasználóknak a meglátogatott webhelyek színsémáinak testreszabását, és a nevük részeként a „szín” szót tartalmazzák – Mega Colors , Colors Scale , Border Colors és még sok más. Az egész kampányt „Dormant Colors”-nak nevezték el a kiberbiztonsági kutatók, akik részletes jelentést tettek közzé róla.

Fertőzési lánc

A felhasználókat úgy csábítják a tolakodó kiterjesztésekre, hogy először felkeresnek egy kétes webhelyet, amely állítólag letölthető videótartalmat vagy fájlokat kínál. Ehelyett a látogatók hirdetéseket fognak látni, vagy átirányítják őket egy másik webhelyre, azt állítva, hogy a folytatáshoz először telepíteniük kell egy böngészőbővítményt. A megjelenő utasítások elfogadásával a felhasználók elfogadják a „colors” böngészőbővítmények valamelyikének telepítését.

Amikor a bővítményt aktiválják a rendszeren, elkezdi átirányítani a felhasználókat további oldalakra, amelyek lehetővé teszik a sérült szkriptek oldalsó betöltését. Ily módon a bővítmény utasításokat kap arra vonatkozóan, hogyan kell folytatni a keresési eltérítést, és milyen konkrét webhelyekre kell beilleszteni a társult linkeket. A gyakorlatban, amikor a felhasználók keresést kezdeményeznek, a keresési lekérdezésüket eltérítik, és olyan eredményeket kapnak, amelyek a PUP (potenciálisan nem kívánt program) üzemeltetőihez kapcsolódó webhelyeket tartalmaznak, és nyereséget termelnek számukra a hirdetésmegjelenítések vagy a adatok keresése.

Társprogramok kihasználása

A Dormant Colors kampány böngészőbővítményei meggátolhatják a felhasználók böngészését, és automatikusan egy olyan oldalra irányítják őket a 10 000 webhelyet tartalmazó kiterjedt listáról, amelyek URL-jéhez kapcsolt linkek vannak csatolva. Ezt követően a felkeresett oldalon végrehajtott vásárlások is pénzt termelnek a csalóknak a mellékelt kapcsolt címke miatt.

A kiberbiztonsági kutatók arra figyelmeztetnek, hogy a Dormant Colors üzemeltetői könnyen elkezdhetnek sokkal fenyegetőbb akciókat végrehajtani. Ugyanennek a kompromittált kódoldali betöltési technikának a használatával átirányíthatják az áldozatokat a dedikált adathalász oldalakra, amelyek legitim domainnek vagy bejelentkezési portálnak tűnnek. A hamis webhelyek megkérhetik a felhasználókat, hogy adjanak meg bizalmas információkat, amelyek aztán a csalók rendelkezésére állnak. Az áldozatok azt kockáztatják, hogy a fontos alkalmazásokhoz – a Microsoft 365-höz, a bankokhoz, a Google Workspace-hez vagy a közösségi médiaplatformokhoz – vonatkozó hitelesítési adataikat veszélybe sodorják.