Злоумышленники перехватывают результаты поиска, даже не используя код.
Исследователи из Guardio Labs
Поскольку все эти расширения предлагают параметры настройки цвета и попадают на компьютер жертвы без вредоносного кода, аналитики назвали кампанию «Dormant Colors». Согласно отчету Guardio, к середине октября 2022 года в магазинах Chrome и Edge было доступно 30 вариантов расширений для браузера, которые были установлены более 1 млн. раз.
Заражение начинается с рекламы или перенаправлений при посещении веб-страниц, предлагающих просмотреть видео или загрузить программу. При попытке загрузить программу или просмотреть видео пользователь перенаправляется на другой сайт, где будет указано,
При первой установке безобидное на вид расширение перенаправляет на различные страницы, загружающие вредоносные скрипты, которые дают расширению команды к перехвату поиска и вставке партнерских ссылок на определённые сайты.
При перехвате поиска расширение перенаправляет поисковые запросы и возвращает результаты с сайтов, связанных с разработчиком расширения, чтобы оператор получал доход от показов рекламы и продажи данных поиска.
Dormant Colors также перехватывает просмотр с 10 000 сайтов, автоматически перенаправляя пользователя на страницу с партнерскими ссылками, добавленными к URL-адресу. После этого разработчик получает процент с любой сделанной на сайте покупки.
По словам исследователей, операторы Dormant Colors также могут перенаправить жертв на фишинговые страницы, чтобы украсть учетные данные для Microsoft 365, Google Workspace, онлайн-банка или соцсетей.
Все вредоносные расширения и сайты были удалены, но исследователи предупреждают, что кампания постоянно дополняется новыми надстройками и доменами.
Исследователи из Guardio Labs
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, распространяющую расширения Google Chrome, которые перехватывают результаты поиска и вставляют партнерские ссылки на веб-страницы.Поскольку все эти расширения предлагают параметры настройки цвета и попадают на компьютер жертвы без вредоносного кода, аналитики назвали кампанию «Dormant Colors». Согласно отчету Guardio, к середине октября 2022 года в магазинах Chrome и Edge было доступно 30 вариантов расширений для браузера, которые были установлены более 1 млн. раз.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
30 вредоносных расширений, которые ранее были доступны в магазине
Заражение начинается с рекламы или перенаправлений при посещении веб-страниц, предлагающих просмотреть видео или загрузить программу. При попытке загрузить программу или просмотреть видео пользователь перенаправляется на другой сайт, где будет указано,
Для просмотра ссылки необходимо нажать
Вход или Регистрация
(видео).
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Предложение загрузки расширения
При первой установке безобидное на вид расширение перенаправляет на различные страницы, загружающие вредоносные скрипты, которые дают расширению команды к перехвату поиска и вставке партнерских ссылок на определённые сайты.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Цепочка атак вредоносных расширений
При перехвате поиска расширение перенаправляет поисковые запросы и возвращает результаты с сайтов, связанных с разработчиком расширения, чтобы оператор получал доход от показов рекламы и продажи данных поиска.
Dormant Colors также перехватывает просмотр с 10 000 сайтов, автоматически перенаправляя пользователя на страницу с партнерскими ссылками, добавленными к URL-адресу. После этого разработчик получает процент с любой сделанной на сайте покупки.
По словам исследователей, операторы Dormant Colors также могут перенаправить жертв на фишинговые страницы, чтобы украсть учетные данные для Microsoft 365, Google Workspace, онлайн-банка или соцсетей.
Все вредоносные расширения и сайты были удалены, но исследователи предупреждают, что кампания постоянно дополняется новыми надстройками и доменами.
Для просмотра ссылки необходимо нажать
Вход или Регистрация