Guardio Labs Dormant Colors Google Chrome расширение реклама Microsoft Edge Google Workspace
Злоумышленники перехватывают результаты поиска, даже не используя код.
Исследователи из Guardio Labs
обнаружили новую вредоносную кампанию , распространяющую расширения Google Chrome, которые перехватывают результаты поиска и вставляют партнерские ссылки на веб-страницы.
Поскольку все эти расширения предлагают параметры настройки цвета и попадают на компьютер жертвы без вредоносного кода, аналитики назвали кампанию «Dormant Colors». Согласно отчету Guardio, к середине октября 2022 года в магазинах Chrome и Edge было доступно 30 вариантов расширений для браузера, которые были установлены более 1 млн. раз.
30 вредоносных расширений, которые ранее были доступны в магазине Заражение начинается с рекламы или перенаправлений при посещении веб-страниц, предлагающих просмотреть видео или загрузить программу. При попытке загрузить программу или просмотреть видео пользователь перенаправляется на другой сайт, где будет указано,
что для продолжения необходимо установить расширение
(видео).
Предложение загрузки расширенияПри первой установке безобидное на вид расширение перенаправляет на различные страницы, загружающие вредоносные скрипты, которые дают расширению команды к перехвату поиска и вставке партнерских ссылок на определённые сайты.
Цепочка атак вредоносных расширенийПри перехвате поиска расширение перенаправляет поисковые запросы и возвращает результаты с сайтов, связанных с разработчиком расширения, чтобы оператор получал доход от показов рекламы и продажи данных поиска.
Dormant Colors также перехватывает просмотр с 10 000 сайтов, автоматически перенаправляя пользователя на страницу с партнерскими ссылками, добавленными к URL-адресу. После этого разработчик получает процент с любой сделанной на сайте покупки.
По словам исследователей, операторы Dormant Colors также могут перенаправить жертв на фишинговые страницы, чтобы украсть учетные данные для Microsoft 365, Google Workspace, онлайн-банка или соцсетей.
Все вредоносные расширения и сайты были удалены, но исследователи предупреждают, что кампания постоянно дополняется новыми надстройками и доменами.
SECURITYLAB.RU