Uśpione kolory

Złośliwa kampania rozpowszechniająca inwazyjne rozszerzenia przeglądarki zdołała zgromadzić ponad milion instalacji. Cyberprzestępcy wypuścili 30 różnych wariantów tych rozszerzeń, rozsianych po sklepach Chrome i Edge Web. Wszystkie rozszerzenia są prezentowane jako narzędzia, oferujące użytkownikom możliwość dostosowania schematów kolorów na odwiedzanych stronach internetowych i zawierają słowo „kolor” jako część swoich nazw - Mega Colors , Colors Scale , Border Colors , i wiele innych. Cała kampania została nazwana „Uśpionymi kolorami” przez badaczy cyberbezpieczeństwa, którzy opublikowali szczegółowy raport na jej temat.

Łańcuch infekcji

Użytkownicy są zwabiani natrętnymi rozszerzeniami, odwiedzając najpierw podejrzaną witrynę, która rzekomo udostępnia treści wideo lub pliki do pobrania. Zamiast tego odwiedzający zobaczą reklamy lub zostaną przekierowani do innej witryny, twierdząc, że muszą najpierw zainstalować rozszerzenie przeglądarki, aby kontynuować. Wyrażając zgodę na przedstawione monity, użytkownicy zaakceptują instalację jednego z rozszerzeń przeglądarki „colors”.

Gdy rozszerzenie zostanie aktywowane w systemie, zacznie przekierowywać użytkowników na dodatkowe strony z możliwością bocznego ładowania uszkodzonych skryptów. W ten sposób rozszerzenie otrzyma instrukcje, jak kontynuować przechwytywanie wyszukiwania i na jakich konkretnych witrynach należy wstrzykiwać linki partnerskie. W praktyce, gdy użytkownicy inicjują wyszukiwanie, ich wyszukiwane hasło zostanie przechwycone, a im zostaną przedstawione wyniki zawierające witryny powiązane z operatorami PUP (Potentially Unwanted Program), generujące dla nich zyski poprzez wyświetlenia reklam lub potencjalną sprzedaż wyszukiwanie danych.

Wykorzystywanie programów partnerskich

Rozszerzenia przeglądarki z kampanii Dormant Colors mogą przechwytywać przeglądanie użytkowników i automatycznie prowadzić ich do strony z obszernej listy 10 000 witryn, które będą miały dołączone do ich adresu URL linki stowarzyszone. Później wszelkie zakupy dokonane na odwiedzanej stronie również będą generować pieniądze dla oszustów, dzięki dołączonemu tagowi powiązanemu.

Badacze cyberbezpieczeństwa ostrzegają, że operatorzy Uśpionych Kolorów mogą z łatwością zacząć wykonywać znacznie groźniejsze działania. Korzystając z tej samej techniki ładowanego kodu, mogliby przekierowywać ofiary na dedykowane strony phishingowe podszywające się pod legalne domeny lub portale logowania. Fałszywe witryny mogą prosić użytkowników o podanie poufnych informacji, które następnie mogą zostać udostępnione oszustom. Ofiary ryzykują, że ich dane logowania do ważnych aplikacji zostaną naruszone — Microsoft 365, banki, Google Workspace lub platformy mediów społecznościowych.