Slapende kleuren

Een malverterende campagne die invasieve browserextensies verspreidt, heeft meer dan een miljoen installaties opgeleverd. De cybercriminelen hebben 30 verschillende varianten van deze extensies uitgebracht, verspreid over de Chrome- en Edge-webwinkels. Alle extensies worden gepresenteerd als hulpmiddelen, die gebruikers de mogelijkheid bieden om de kleurenschema's op bezochte websites aan te passen en het woord 'kleur' als onderdeel van hun naam bevatten - Mega Colors , Colors Scale , Border Colors en nog veel meer. De hele campagne kreeg de naam 'Dormant Colors' door cybersecurity-onderzoekers die er een gedetailleerd rapport over uitbrachten.

Infectieketen

Gebruikers worden naar de opdringerige extensies gelokt door eerst een dubieuze website te bezoeken die zogenaamd video-inhoud of bestanden biedt om te downloaden. In plaats daarvan zien bezoekers advertenties voor of worden ze omgeleid naar een andere site, die beweren dat ze eerst een browserextensie moeten installeren om door te gaan. Door akkoord te gaan met de gepresenteerde prompts, accepteren gebruikers de installatie van een van de 'kleuren' browserextensies.

Wanneer de extensie op het systeem is geactiveerd, zal het gebruikers omleiden naar extra pagina's met de mogelijkheid om corrupte scripts te side-loaden. Op deze manier ontvangt de extensie instructies over hoe verder te gaan met het kapen van zoekopdrachten en over welke specifieke sites gelieerde links moeten invoegen. In de praktijk, wanneer gebruikers een zoekopdracht starten, wordt hun zoekopdracht gekaapt en krijgen ze resultaten te zien met sites die zijn gelieerd aan de exploitanten van het PUP (Potentially Unwanted Program), wat voor hen winst oplevert via advertentievertoningen of de mogelijke verkoop van gegevens zoeken.

Gebruikmaken van partnerprogramma's

De browserextensies van de Dormant Colors-campagne kunnen het browsen van gebruikers onderscheppen en hen automatisch naar een pagina leiden uit een uitgebreide lijst van 10.000 websites waarop gelieerde links aan hun URL zijn toegevoegd. Naderhand zullen eventuele aankopen op de bezochte pagina ook geld opleveren voor de fraudeurs, dankzij de meegeleverde aangesloten tag.

Cybersecurity-onderzoekers waarschuwen dat de operators van Dormant Colors gemakkelijk veel meer bedreigende acties kunnen gaan uitvoeren. Door dezelfde gecompromitteerde code-side-loading-techniek te gebruiken, kunnen ze slachtoffers omleiden naar speciale phishing-pagina's die zich voordoen als legitieme domeinen of inlogportalen. De nepsites kunnen gebruikers vragen om gevoelige informatie te verstrekken die vervolgens beschikbaar kan komen voor de fraudeurs. Slachtoffers lopen het risico dat hun accountreferenties voor belangrijke applicaties - Microsoft 365, banken, Google Workspace of sociale-mediaplatforms, worden gecompromitteerd.