Culori latente

O campanie de malvertising care răspândește extensii de browser invazive a reușit să acumuleze peste un milion de instalări. Infractorii cibernetici au lansat 30 de variante diferite ale acestor extensii, răspândite în magazinele Chrome și Edge Web. Toate extensiile sunt prezentate ca instrumente, oferind utilizatorilor posibilitatea de a personaliza schemele de culori de pe site-urile web vizitate și de a conține cuvântul „culoare” ca parte a numelor lor - Mega Colors , Colors Scale , Border Colors și multe altele. Întreaga campanie a fost numită „Dormant Colors” de către cercetătorii în domeniul securității cibernetice, care au publicat un raport detaliat despre aceasta.

Lanțul de infecție

Utilizatorii sunt atrași de extensiile intruzive vizitând mai întâi un site web dubios care se presupune că oferă conținut video sau fișiere pentru descărcare. În schimb, vizitatorii vor vedea reclame pentru sau vor fi redirecționați către un alt site, susținând că mai întâi trebuie să instaleze o extensie de browser pentru a continua. Fiind de acord cu solicitările prezentate, utilizatorii vor accepta instalarea uneia dintre extensiile de browser „culori”.

Când extensia este activată pe sistem, va începe să redirecționeze utilizatorii către pagini suplimentare care au capacitatea de a încărca lateral scripturi corupte. În acest fel, extensia va primi instrucțiuni despre cum să procedeze cu deturnarea căutării și pe ce site-uri specifice să injecteze link-uri afiliate. În practică, atunci când utilizatorii inițiază o căutare, interogarea lor de căutare va fi deturnată și li se vor prezenta rezultate care conțin site-uri afiliate operatorilor PUP (Programul potențial nedorit), generând profituri pentru ei prin afișări de anunțuri sau potențiala vânzare de date de căutare.

Exploatarea programelor de afiliere

Extensiile de browser ale campaniei Dormant Colors pot intercepta navigarea utilizatorilor și îi pot conduce automat către o pagină dintr-o listă extinsă de 10.000 de site-uri web care vor avea link-uri afiliate atașate la adresa URL. Ulterior, orice achiziție făcută pe pagina vizitată va genera și bani pentru fraudatori, datorită etichetei afiliate incluse.

Cercetătorii în domeniul securității cibernetice avertizează că operatorii Dormant Colors ar putea începe cu ușurință să efectueze acțiuni mult mai amenințătoare. Folosind aceeași tehnică de încărcare laterală a codului compromis, aceștia ar putea redirecționa victimele către pagini dedicate de phishing care se prezintă drept domenii legitime sau portaluri de conectare. Site-urile false ar putea cere utilizatorilor să furnizeze informații sensibile care ar putea deveni apoi disponibile fraudatorilor. Victimele riscă să le fie compromise acreditările contului pentru aplicații importante - Microsoft 365, bănci, Google Workspace sau platforme de social media.