Ούτε μία, ούτε δύο, αλλά τριάντα επεκτάσεις του Chrome με συνολικά 1 εκατομμύριο εγκαταστάσεις βρέθηκαν να προωθούν κακόβουλες διαφημίσεις
Researchers from Guardio Labs discovered a new malicious ad campaign, where through Google Chrome extensions they hijack your searches and insert their own affiliate links on the websites you visit.
All of these extensions basically offer Chrome color customization options, and come to the victim's machine without any malicious code to avoid detection. Analysts called the campaign “Dormant Colors”.
Σύμφωνα με την έκθεση της Guardio Labs, μέχρι τα μέσα Οκτωβρίου 2022, 30 παραλλαγές των επεκτάσεων του προγράμματος περιήγησης ήταν διαθέσιμες τόσο στο Chrome όσο και στα διαδικτυακά καταστήματα Edge, συγκεντρώνοντας πάνω από ένα εκατομμύριο εγκαταστάσεις.
Η μόλυνση ξεκινά με διαφημίσεις ή ανακατευθύνσεις όταν επισκέπτεστε ιστοσελίδες που προσφέρουν βίντεο ή λήψη. Επιπλέον, όταν προσπαθείτε να κατεβάσετε το αρχείο ή να παρακολουθήσετε το βίντεο, ανακατευθύνεστε σε άλλο ιστότοπο δηλώνοντας ότι πρέπει να εγκαταστήσετε μια επέκταση για να συνεχίσετε, όπως φαίνεται παρακάτω.
When the visitor clicks the OK or Continue button, they are prompted to install a harmless-looking color-changing extension.
However, when these extensions are first installed, they will redirect users to various pages with malicious scripts that in turn instruct the extension on how to perform the attack and on which sites to insert their affiliate links.
Once their affiliate links are appended to the URL, any purchase made on the site will generate a commission for the malicious developers.
Researchers warn that by using the same stealthy malicious code-loading technique, Dormant Colors' operators could potentially achieve more sinister things than simply serving ads. They could redirect victims to phishing pages to steal credentials for the websites you visit, including banking websites.
The malicious extensions have already been removed from the Chrome and Edge stores, but researchers warn that the campaign is constantly being renewed with new extension names.
