Mga Natutulog na Kulay

Ang isang malvertizing campaign na nagpapakalat ng mga invasive na extension ng browser ay nakapag-rack ng mahigit sa isang milyong pag-install. Naglabas ang mga cybercriminal ng 30 iba't ibang variant ng mga extension na ito, na kumalat sa mga tindahan ng Chrome at Edge Web. Ang lahat ng mga extension ay ipinakita bilang mga tool, na nag-aalok sa mga user ng kakayahang i-customize ang mga color scheme sa binisita na mga website at naglalaman ng salitang 'kulay' bilang bahagi ng kanilang mga pangalan - Mega Colors , Colors Scale , Border Colors , at marami pa. Ang buong kampanya ay pinangalanang 'Dormant Colors' ng mga mananaliksik sa cybersecurity na naglabas ng isang detalyadong ulat tungkol dito.

Chain ng Impeksyon

Ang mga gumagamit ay naakit sa mga mapanghimasok na extension sa pamamagitan ng pagbisita muna sa isang kahina-hinalang website na diumano'y nagbibigay ng nilalamang video o mga file para sa pag-download. Sa halip, makakakita ang mga bisita ng mga ad para sa o ire-redirect sa ibang site, na sinasabing kailangan muna nilang mag-install ng extension ng browser upang magpatuloy. Sa pamamagitan ng pagsang-ayon sa ipinakita na mga senyas, tatanggapin ng mga user ang pag-install ng isa sa mga extension ng browser na 'kulay'.

Kapag na-activate ang extension sa system, magsisimula itong i-redirect ang mga user sa mga karagdagang page na may kakayahang mag-side-load ng mga sirang script. Sa ganitong paraan, makakatanggap ang extension ng mga tagubilin kung paano magpatuloy sa pag-hijack ng paghahanap nito at kung anong mga partikular na site ang mag-iiniksyon ng mga link na kaakibat. Sa pagsasagawa, kapag nagsimula ang mga user ng paghahanap, ma-hijack ang kanilang query sa paghahanap, at ipapakita sa kanila ang mga resultang naglalaman ng mga site na kaakibat ng mga operator ng PUP (Potentially Unwanted Program), na nakakakuha ng kita para sa kanila sa pamamagitan ng mga ad impression o ang potensyal na pagbebenta ng paghahanap ng data.

Pagsasamantala sa Mga Programang Kaakibat

Maaaring harangin ng mga extension ng browser ng Dormant Colors ang pag-browse ng mga user at awtomatikong ihatid sila sa isang page mula sa isang malawak na listahan ng 10, 000 website na magkakaroon ng mga kaakibat na link na nakadugtong sa kanilang URL. Pagkatapos, ang anumang mga pagbili na ginawa sa binisita na pahina ay bubuo din ng pera para sa mga manloloko, dahil sa kasamang kaakibat na tag.

Nagbabala ang mga mananaliksik sa cybersecurity na ang mga operator ng Dormant Colors ay madaling makapagsimulang magsagawa ng higit pang mga nagbabantang aksyon. Sa pamamagitan ng paggamit ng parehong nakompromisong diskarte sa side-loading ng code, maaari nilang i-redirect ang mga biktima sa nakalaang mga pahina ng phishing na nagpapanggap bilang mga lehitimong domain o login portal. Maaaring hilingin ng mga pekeng site sa mga user na magbigay ng sensitibong impormasyon na maaaring maging available sa mga manloloko. Nanganganib ang mga biktima na makompromiso ang mga kredensyal ng kanilang account para sa mahahalagang application - Microsoft 365, mga bangko, Google Workspace, o mga platform ng social media.