Сплячі кольори

Шкідливій кампанії, яка поширює інвазивні розширення браузера, вдалося набрати понад мільйон установок. Кіберзлочинці випустили 30 різних варіантів цих розширень, поширених у веб-магазинах Chrome і Edge. Усі розширення представлені як інструменти, які пропонують користувачам можливість налаштовувати колірні схеми на відвідуваних веб-сайтах і містять слово «колір» як частину назви — Mega Colors , Colors Scale , Border Colors та багато іншого. Всю кампанію дослідники кібербезпеки назвали «сплячими кольорами», які опублікували детальний звіт про неї.

Ланцюг зараження

Користувачів залучають до нав’язливих розширень, спершу відвідуючи сумнівний веб-сайт, який нібито надає відеовміст або файли для завантаження. Замість цього відвідувачі бачитимуть рекламу або будуть перенаправлені на інший сайт, стверджуючи, що вони повинні спочатку встановити розширення для браузера, щоб продовжити. Погоджуючись із представленими підказками, користувачі погодяться встановити одне з розширень браузера «кольори».

Коли розширення активовано в системі, воно почне перенаправляти користувачів на додаткові сторінки, які містять можливість стороннього завантаження пошкоджених сценаріїв. Таким чином, розширення отримає вказівки щодо того, як продовжити викрадення пошуку та на які конкретні сайти додати партнерські посилання. На практиці, коли користувач ініціює пошук, їхній пошуковий запит буде перехоплено, і їм будуть представлені результати, що містять сайти, афілійовані з операторами PUP (потенційно небажаної програми), що приносить їм прибуток за рахунок показів реклами або потенційного продажу дані пошуку.

Використання партнерських програм

Розширення для браузера кампанії «Сплячі кольори» можуть перехоплювати перегляд користувачів і автоматично спрямовувати їх на сторінку з обширного списку з 10 000 веб-сайтів, до URL-адреси яких будуть додані афілійовані посилання. Згодом будь-які покупки, зроблені на відвіданій сторінці, також принесуть гроші шахраям завдяки включеному афілійованому тегу.

Дослідники кібербезпеки попереджають, що оператори Dormant Colors можуть легко почати виконувати набагато більш загрозливі дії. Використовуючи ту саму технологію бокового завантаження зламаного коду, вони могли перенаправляти жертв на спеціальні фішингові сторінки, видаючи себе за законні домени або портали входу. Фальшиві сайти можуть вимагати від користувачів надати конфіденційну інформацію, яка потім може стати доступною для шахраїв. Жертви ризикують отримати облікові дані для важливих програм — Microsoft 365, банків, Google Workspace або платформ соціальних мереж.