Sovende farger

En malvertiserende kampanje som sprer invasive nettleserutvidelser har klart å samle over en million installasjoner. Nettkriminelle har gitt ut 30 forskjellige varianter av disse utvidelsene, spredt over Chrome- og Edge-nettbutikkene. Alle utvidelsene presenteres som verktøy, og gir brukerne muligheten til å tilpasse fargeskjemaene på besøkte nettsteder og inneholde ordet "farge" som en del av navnene deres - Mega Colors , Colors Scale , Border Colors , og mange flere. Hele kampanjen ble kalt "Dormant Colors" av cybersikkerhetsforskere som ga ut en detaljert rapport om den.

Infeksjonskjede

Brukere lokkes til de påtrengende utvidelsene ved først å besøke et tvilsomt nettsted som visstnok gir videoinnhold eller filer for nedlasting. I stedet vil besøkende se annonser for eller bli omdirigert til et annet nettsted, og hevder at de først må installere en nettleserutvidelse for å fortsette. Ved å godta de presenterte instruksjonene, vil brukere godta installasjonen av en av nettleserutvidelsene "farger".

Når utvidelsen er aktivert på systemet, vil den begynne å omdirigere brukere til flere sider som har muligheten til å sidelaste ødelagte skript. På denne måten vil utvidelsen motta instruksjoner om hvordan du fortsetter med søkekapringen og hvilke spesifikke nettsteder som skal injisere tilknyttede lenker. I praksis, når brukere starter et søk, vil søket deres bli kapret, og de vil bli presentert med resultater som inneholder nettsteder tilknyttet operatørene av PUP (Potentially Unwanted Program), som genererer fortjeneste for dem via annonsevisninger eller potensielt salg av søkedata.

Utnyttelse av tilknyttede programmer

Nettleserutvidelsene til Dormant Colors-kampanjen kan avskjære brukernes surfing og automatisk lede dem til en side fra en omfattende liste med 10 000 nettsteder som vil ha tilknyttede lenker knyttet til URL-en deres. Etterpå vil alle kjøp gjort på den besøkte siden også generere penger til svindlerne, på grunn av den medfølgende tilknyttede taggen.

Cybersikkerhetsforskere advarer om at operatørene av Dormant Colors lett kan begynne å utføre langt mer truende handlinger. Ved å bruke den samme teknikken for sideinnlasting av kompromitterte kode, kan de omdirigere ofre til dedikerte phishing-sider som utgir seg for å være legitime domener eller påloggingsportaler. De falske sidene kan be brukere om å oppgi sensitiv informasjon som deretter kan bli tilgjengelig for svindlerne. Ofre risikerer å få kontolegitimasjonen for viktige applikasjoner – Microsoft 365, banker, Google Workspace eller sosiale medieplattformer kompromittert.