Η Guardio Labs ανακάλυψε μια νέα malvertising καμπάνια που προωθεί κακόβουλες επεκτάσεις του Google Chrome που παραβιάζουν αναζητήσεις και εισάγουν affiliate links σε ιστοσελίδες.
Οι αναλυτές ονόμασαν την εκστρατεία “Dormant Colors” επειδή όλες αυτές οι επεκτάσεις προσφέρουν επιλογές προσαρμογής χρωμάτων και φτάνουν στον υπολογιστή του θύματος χωρίς κακόβουλο κώδικα, προκειμένου να αποφύγουν την ανίχνευση.
Η έκθεση της Guardio αναφέρει ότι μέχρι τα μέσα Οκτωβρίου του 2022 είχαν εντοπιστεί 30 παραλλαγές των επεκτάσεων στα web stores του Chrome και του Edge, διαθέσιμες για εγκατάσταση. Συνολικά, οι επεκτάσεις είχαν πάνω από ένα εκατομμύριο εγκαταστάσεις.
Δείτε επίσης: Η Apple διορθώνει νέα zero-day ευπάθεια σε iPhones και iPad
Η μόλυνση ξεκινά με διαφημίσεις ή ιστότοπους που υπόσχονται ένα βίντεο ή λήψη ενός προγράμματος.
Ωστόσο, όταν κάνετε κλικ για να κατεβάσετε το πρόγραμμα ή να παρακολουθήσετε το βίντεο, ανακατευθύνεστε σε έναν άλλο ιστότοπο που λέει ότι πρέπει πρώτα να εγκαταστήσετε μια επέκταση.
Αν κάνετε κλικ στο κουμπί “OK” ή “Συνέχεια“, βλέπετε ένα μήνυμα για την εγκατάσταση μιας φαινομενικά ακίνδυνης επέκτασης αλλαγής χρώματος.
Αλλά, όταν κατεβάζετε για πρώτη φορά αυτές τις Chrome επεκτάσεις, μεταφέρεστε σε διάφορες σελίδες που περιέχουν επικίνδυνα scripts. Αυτά τα scripts δείχνουν στην επέκταση πώς να κάνει search hijacking και σε ποια sites να τοποθετήσει affiliate links.
Όπως εξηγεί η έκθεση της Guardio, “η πρώτη δημιουργεί δυναμικά στοιχεία στη σελίδα, ενώ προσπαθεί απεγνωσμένα να κάνει obfuscated τα JavaScript API calls“.
“Αυτά τα δύο στοιχεία HTML- colorstylecsse και colorrgbstylesre- έχουν περιεχόμενο (InnerText) που, για το πρώτο στοιχείο, είναι μια λίστα από συμβολοσειρές και regexes που χωρίζονται με ‘#’, ενώ το δεύτερο είναι μια λίστα από 10k+ domains με διαχωρισμό με κόμμα“.
Τέλος, αλλάζει τη διεύθυνση URL που σχετίζεται με το αντικείμενο τοποθεσίας, ώστε να σας στείλει σε μια διαφήμιση που ολοκληρώνει αυτή τη διαδικασία. Στόχος είναι να φαίνεται ότι ήταν απλώς άλλη μια αναδυόμενη διαφήμιση.
Δείτε επίσης: Black Reward: Κλέψαμε χιλιάδες email από την Ιρανική Υπηρεσία Ατομικής Ενέργειας
Κατά την εκτέλεση του search hijacking, οι Chrome επεκτάσεις ανακατευθύνουν τα search queries για να επιστρέψουν αποτελέσματα από sites που συνδέονται με τους προγραμματιστές των εφαρμογών. Αυτό έχει ως αποτέλεσμα να κερδίζουν χρήματα από τη διαφήμιση και την πώληση δεδομένων αναζήτησης.
Η εκστρατεία Dormant Colors παραβιάζει, επίσης, την περιήγηση του θύματος σε μια εκτεταμένη λίστα 10.000 ιστότοπων, ανακατευθύνοντας αυτόματα τους χρήστες στην ίδια σελίδα. Η διαφορά αυτή τη φορά είναι ότι τα affiliate links προστίθενται στη διεύθυνση URL.
Εάν οι χρήστες κάνουν κλικ στη διεύθυνση URL και προβούν σε αγορά, οι προγραμματιστές θα κερδίσουν προμήθεια. Η Guardio μοιράστηκε και ένα βίντεο που δείχνει το affiliation hijacking component.
Οι ερευνητές προειδοποιούν ότι αν οι διαχειριστές της Dormant Colors χρησιμοποιήσουν την ίδια τεχνική code side-loading, θα μπορούσαν να επιτύχουν πολύ πιο επικίνδυνα πράγματα από την απλή “πειρατεία” των συνδέσμων.
Οι ερευνητές δηλώνουν ότι μπορούν να δημιουργηθούν σελίδες phishing για να στοχεύσουν τα θύματα και να κλέψουν τα credentials του Microsoft 365, του Google Workspace, τραπεζικών λογαριασμών ή social media accounts.
Οι ερευνητές λένε ότι δεν έχουν εντοπίσει σημάδια για διαφορετική κακόβουλη συμπεριφορά, αλλά αυτό θα μπορούσε να αλλάξει εύκολα με την φόρτωση πρόσθετων scripts.
Δείτε επίσης: Η Interpol δημιούργησε μια παγκόσμια αστυνομία Metaverse
Παρόλο που οι Chrome επεκτάσεις και οι ιστότοποι που αναφέρονται στην ενότητα IoCs έχουν αφαιρεθεί ή τεθεί εκτός λειτουργίας, οι ερευνητές ανησυχούν ότι η επιχείρηση θα ξεκινήσει και πάλι με νέες επεκτάσεις και domains.
Όπως λέει χαρακτηριστικά η εταιρεία στην έκθεσή της: “Αυτή η καμπάνια συνεχίζει να λειτουργεί, αλλάζει domains, δημιουργεί νέες Chrome επεκτάσεις και ανακαλύπτει ξανά περισσότερες λειτουργίες αλλαγής χρώματος και στυλ…“. Οι ερευνητές τονίζουν ότι οι επιτιθέμενοι δεν κερδίζουν απλά χρήματα με την ανακατεύθυνση σε συγκεκριμένα sites, αλλά θέτουν σε κίνδυνο το απόρρητο των χρηστών, ενώ κινδυνεύουν και οργανισμοί αφού μπορεί θα μπορούσε να γίνει και κλοπή credentials και οικονομικών δεδομένων.
Περισσότερες λεπτομέρειες στην έκθεση της Guardio Labs.
Πηγή: www.bleepingcomputer.com