Vilande färger

En malvertiserande kampanj som sprider invasiva webbläsartillägg har lyckats få ihop över en miljon installationer. De cyberbrottslingar har släppt 30 olika varianter av dessa tillägg, spridda över Chrome och Edge Web Stores. Alla tillägg presenteras som verktyg som ger användarna möjlighet att anpassa färgscheman på besökta webbplatser och innehåller ordet "färg" som en del av deras namn - Mega Colors , Colors Scale , Border Colors , och många fler. Hela kampanjen fick namnet "Dormant Colors" av cybersäkerhetsforskare som släppte en detaljerad rapport om den.

Infektionskedja

Användare lockas till de påträngande tilläggen genom att först besöka en tvivelaktig webbplats som förmodligen tillhandahåller videoinnehåll eller filer för nedladdning. Istället kommer besökare att se annonser för eller omdirigeras till en annan webbplats, och hävdar att de först måste installera ett webbläsartillägg för att fortsätta. Genom att acceptera de presenterade uppmaningarna, accepterar användarna installationen av en av webbläsartilläggen "färger".

När tillägget är aktiverat på systemet kommer det att börja omdirigera användare till ytterligare sidor som har möjligheten att sidladda skadade skript. På så sätt kommer tillägget att få instruktioner om hur man går vidare med sin sökkapning och om vilka specifika webbplatser som ska injicera affiliate-länkar. I praktiken, när användare initierar en sökning, kommer deras sökfråga att kapas och de kommer att presenteras med resultat som innehåller webbplatser som är anslutna till operatörerna av PUP (Potentially Unwanted Program), vilket genererar vinst för dem via annonsvisningar eller potentiell försäljning av sökdata.

Utnyttja affiliate-program

Webbläsartilläggen för kampanjen Dormant Colors kan avlyssna användares surfning och automatiskt leda dem till en sida från en omfattande lista med 10 000 webbplatser som kommer att ha anslutna länkar bifogade till deras URL. Efteråt kommer alla köp som görs på den besökta sidan också att generera pengar till bedragarna, på grund av den medföljande associerade taggen.

Cybersäkerhetsforskare varnar för att operatörerna av Dormant Colors lätt kan börja utföra mycket mer hotfulla åtgärder. Genom att använda samma teknik för sidladdning av kod, kunde de omdirigera offer till dedikerade nätfiskesidor som utger sig för att vara legitima domäner eller inloggningsportaler. De falska sajterna kan be användarna att tillhandahålla känslig information som sedan kan bli tillgänglig för bedragarna. Offren riskerar att få sina kontouppgifter för viktiga applikationer – Microsoft 365, banker, Google Workspace eller sociala medieplattformar äventyras.