Spiace farby

Škodlivá kampaň šíriaca invazívne rozšírenia prehliadača dokázala nazbierať viac ako milión inštalácií. Kyberzločinci vydali 30 rôznych variantov týchto rozšírení, ktoré sú rozmiestnené vo webových obchodoch Chrome a Edge. Všetky rozšírenia sú prezentované ako nástroje, ktoré používateľom ponúkajú možnosť prispôsobiť si farebné schémy na navštívených webových stránkach a obsahovať slovo „farba“ ako súčasť ich názvov – Mega Colors , Colors Scale , Border Colors a mnohé ďalšie. Celú kampaň nazvali výskumníci v oblasti kybernetickej bezpečnosti „Dormant Colors“, ktorí o nej vydali podrobnú správu.

Infekčný reťazec

Používatelia sú lákaní na rušivé rozšírenia tak, že najprv navštívia pochybnú webovú stránku, ktorá údajne poskytuje videoobsah alebo súbory na stiahnutie. Namiesto toho sa návštevníkom zobrazia reklamy alebo budú presmerovaní na inú stránku s tvrdením, že ak chcú pokračovať, musia si najprv nainštalovať rozšírenie prehliadača. Súhlasom s uvedenými výzvami používatelia akceptujú inštaláciu jedného z rozšírení prehliadača „farby“.

Keď je rozšírenie v systéme aktivované, začne používateľov presmerovávať na ďalšie stránky s možnosťou bočného načítania poškodených skriptov. Týmto spôsobom rozšírenie dostane pokyny, ako postupovať pri únose vyhľadávania a na ktoré konkrétne stránky vložiť pridružené odkazy. V praxi, keď používatelia spustia vyhľadávanie, ich vyhľadávací dopyt bude unesený a budú im prezentované výsledky obsahujúce stránky pridružené k prevádzkovateľom programu PUP (potenciálne nechcené programy), ktoré im generujú zisky prostredníctvom zobrazení reklamy alebo potenciálneho predaja vyhľadávacie údaje.

Využívanie pridružených programov

Rozšírenia prehliadača kampane Dormant Colors dokážu zachytiť prehliadanie používateľov a automaticky ich priviesť na stránku z rozsiahleho zoznamu 10 000 webových stránok, ktoré budú mať k svojej adrese URL pripojené pridružené odkazy. Všetky nákupy uskutočnené na navštívenej stránke budú následne generovať peniaze pre podvodníkov vďaka pripojenej pridruženej značke.

Výskumníci v oblasti kybernetickej bezpečnosti varujú, že prevádzkovatelia Dormant Colors by mohli ľahko začať vykonávať oveľa hrozivejšie akcie. Použitím rovnakej techniky načítania kompromitovaného kódu by mohli presmerovať obete na vyhradené phishingové stránky, ktoré sa tvária ako legitímne domény alebo prihlasovacie portály. Falošné stránky by mohli od používateľov požadovať poskytnutie citlivých informácií, ktoré by sa potom mohli sprístupniť podvodníkom. Obete riskujú, že budú ohrozené prihlasovacie údaje účtu pre dôležité aplikácie – Microsoft 365, banky, Google Workspace alebo platformy sociálnych médií.