Спящие цвета

Вредоносная кампания по распространению инвазивных расширений для браузера набрала более миллиона установок. Киберпреступники выпустили 30 различных вариантов этих расширений, разбросанных по магазинам Chrome и Edge Web. Все расширения представлены в виде инструментов, предлагающих пользователям возможность настраивать цветовые схемы посещаемых веб-сайтов и содержать слово «цвет» как часть своих названий — Mega Colors , Colors Scale , Border Colors и многие другие. Исследователи кибербезопасности назвали всю кампанию «Дремлющими цветами», опубликовав подробный отчет о ней.

Цепь заражения

Пользователей заманивают навязчивыми расширениями, сначала посещая сомнительный веб-сайт, который предположительно предоставляет видеоконтент или файлы для загрузки. Вместо этого посетители увидят рекламу или будут перенаправлены на другой сайт, утверждая, что они должны сначала установить расширение для браузера, чтобы продолжить. Соглашаясь с представленными подсказками, пользователи соглашаются на установку одного из расширений браузера «цвета».

Когда расширение активировано в системе, оно начнет перенаправлять пользователей на дополнительные страницы с возможностью боковой загрузки поврежденных скриптов. Таким образом, расширение получит инструкции о том, как продолжить захват поиска и на каких конкретных сайтах вставлять партнерские ссылки. На практике, когда пользователи инициируют поиск, их поисковый запрос будет перехвачен, и им будут представлены результаты, содержащие сайты, связанные с операторами ПНП (потенциально нежелательной программы), приносящие им прибыль за счет показов рекламы или потенциальной продажи поисковые данные.

Использование партнерских программ

Расширения браузера кампании «Дремлющие цвета» могут перехватывать просмотры пользователей и автоматически направлять их на страницу из обширного списка из 10 000 веб-сайтов, к URL-адресам которых будут добавлены партнерские ссылки. После этого любые покупки, сделанные на посещенной странице, также будут приносить деньги мошенникам благодаря включенному аффилированному тегу.

Исследователи кибербезопасности предупреждают, что операторы Dormant Colors могут легко начать совершать гораздо более опасные действия. Используя тот же метод боковой загрузки скомпрометированного кода, они могли перенаправить жертв на специальные фишинговые страницы, выдающие себя за законные домены или порталы входа. Поддельные сайты могут просить пользователей предоставить конфиденциальную информацию, которая затем может стать доступной для мошенников. Жертвы рискуют скомпрометировать свои учетные данные для важных приложений — Microsoft 365, банков, Google Workspace или платформ социальных сетей.