Colori dormienti

Una campagna di malverting che diffonde estensioni invasive del browser è riuscita a accumulare oltre un milione di installazioni. I criminali informatici hanno rilasciato 30 diverse varianti di queste estensioni, distribuite nei negozi Chrome ed Edge Web. Tutte le estensioni sono presentate come strumenti, offrendo agli utenti la possibilità di personalizzare le combinazioni di colori sui siti Web visitati e contengono la parola "colore" come parte dei loro nomi: Mega Colors , Colors Scale , Border Colors e molti altri. L'intera campagna è stata denominata "Colori dormienti" dai ricercatori di sicurezza informatica che hanno pubblicato un rapporto dettagliato al riguardo.

Catena di infezione

Gli utenti vengono attirati dalle estensioni invadenti visitando prima un sito Web dubbio che presumibilmente fornisce contenuti video o file da scaricare. Invece, i visitatori vedranno annunci pubblicitari o verranno reindirizzati a un sito diverso, sostenendo che devono prima installare un'estensione del browser per continuare. Accettando le richieste presentate, gli utenti accetteranno l'installazione di una delle estensioni del browser "colori".

Quando l'estensione viene attivata sul sistema, inizierà a reindirizzare gli utenti a pagine aggiuntive con la possibilità di caricare lateralmente script danneggiati. In questo modo, l'estensione riceverà istruzioni su come procedere con il dirottamento della ricerca e su quali siti specifici inserire link di affiliazione. In pratica, quando gli utenti avviano una ricerca, la loro query di ricerca verrà dirottata e verranno presentati loro risultati contenenti siti affiliati agli operatori del PUP (Potentially Unwanted Program), generando per loro profitti tramite impressioni pubblicitarie o la potenziale vendita di dati di ricerca.

Sfruttare i programmi di affiliazione

Le estensioni del browser della campagna Dormant Colors possono intercettare la navigazione degli utenti e portarli automaticamente a una pagina da un ampio elenco di 10.000 siti Web che avranno collegamenti affiliati aggiunti al loro URL. In seguito, anche gli acquisti effettuati sulla pagina visitata genereranno denaro per i truffatori, grazie al tag di affiliazione incluso.

I ricercatori di sicurezza informatica avvertono che gli operatori di Dormant Colors potrebbero facilmente iniziare a eseguire azioni molto più minacciose. Utilizzando la stessa tecnica di caricamento laterale del codice compromesso, potrebbero reindirizzare le vittime a pagine di phishing dedicate che si spacciano per domini legittimi o portali di accesso. I siti falsi potrebbero chiedere agli utenti di fornire informazioni sensibili che potrebbero poi diventare disponibili per i truffatori. Le vittime rischiano di avere le credenziali del proprio account per applicazioni importanti: Microsoft 365, banche, Google Workspace o piattaforme di social media sono state compromesse.