Dormant Colors

Uma campanha de malvertising espalhando extensões de navegador invasivas conseguiu acumular mais de um milhão de instalações. Os cibercriminosos lançaram 30 variantes diferentes dessas extensões, espalhadas pelas lojas Chrome e Edge. Todas as extensões são apresentadas como ferramentas, oferecendo aos usuários a capacidade de personalizar os esquemas de cores nos sites visitados e conter a palavra 'cor' como parte de seus nomes - Mega Colors, Colors Scale, Border Colors e muito mais. A campanha inteira foi nomeada 'Dormant Colors' por pesquisadores de segurança cibernética que divulgaram um relatório detalhado sobre isso.

Cadeia de Infecção

Os usuários são atraídos para as extensões intrusivas visitando primeiro um site duvidoso que supostamente fornece conteúdo de vídeo ou arquivos para download. Em vez disso, os visitantes verão anúncios ou serão redirecionados para um site diferente, alegando que devem primeiro instalar uma extensão do navegador para continuar. Ao concordar com os prompts apresentados, os usuários aceitarão a instalação de uma das extensões de navegador 'coloridas'.

Quando a extensão for ativada no sistema, ela começará a redirecionar os usuários para páginas adicionais com a capacidade de carregar scripts corrompidos. Dessa forma, a extensão receberá instruções sobre como proceder com seu sequestro de busca e em quais sites específicos injetar links de afiliados. Na prática, quando os usuários iniciam uma pesquisa, sua consulta de pesquisa será sequestrada e serão apresentados a eles resultados contendo sites afiliados aos operadores do PUP (Programa Potencialmente Indesejável), gerando lucros para eles por meio de impressões de anúncios ou a potencial venda de dados de pesquisa.

Explorando Programas de Afiliados

As extensões do navegador da campanha do Dormant Colors podem interceptar a navegação dos usuários e levá-los automaticamente a uma página de uma extensa lista de 10.000 sites que terão links afiliados anexados ao URL. Posteriormente, qualquer compra feita na página visitada também gerará dinheiro para os fraudadores, devido à tag de afiliado incluída.

Os pesquisadores de segurança cibernética alertam que os operadores do Dormant Colors podem facilmente começar a realizar ações muito mais ameaçadoras. Ao usar a mesma técnica de carregamento lateral de código comprometido, eles podem redirecionar as vítimas para páginas de phishing dedicadas que se apresentam como domínios legítimos ou portais de login. Os sites falsos podem pedir aos usuários que forneçam informações confidenciais que podem ficar disponíveis para os fraudadores. As vítimas correm o risco de ter suas credenciais de conta para aplicativos importantes - Microsoft 365, bancos, Google Workspace ou plataformas de mídia social comprometidas.