Browser hijacker, der udgiver sig som farvebytter, inficerer millioner

Ondsindede browserudvidelser, der gemmer sig bag en form for uskadelig funktionalitet, såsom en farveskifter, er ikke noget nyt. Sovende farver er dog en historie adskilt.

Dormant Colors er navnet på en gruppe af useriøse browserudvidelser, der blev skubbet aggressivt gennem en storstilet malvertising-kampagne og endte med at blive installeret i millioner af browsere.

Dvalende farver-konstellationen af ondsindede udvidelser blev opdaget af forskere med Guardio Security. Deres rapport beskriver omkring 30 forskellige browserudvidelser, der blev distribueret gennem forskellige metoder, herunder at være hostet i Chrome og Edge addon-butikkerne. Den ondsindede kode blev sideindlæst for at undgå registrering så længe som muligt.

En af de vigtigste distributionsvektorer for Dormant Colors-udvidelser var at bruge vildledende sider, der tvinger brugeren til at installere udvidelsen for at se det påståede indhold på den vildledende side - en anden almindelig taktik, der bruges til at skubbe en masse browserkaprere, men normalt bruger push-meddelelser og ikke tvinge en udvidelsesinstallation.

Sovende farveudvidelserne udfører søgekapring og returnerer match fra sponsorerede sider, tilknyttet entiteten bag kampagnen, der presser Sovende farver.

De ondsindede udvidelser kan også tilføje affilierede links til de URL'er, som brugeren rammer, når han besøger svimlende 10.000 websteder - en anden metode til at generere indtægter på ryggen af det intetanende offer. Når en sådan affiliate-URL er indlæst i browseren, vil hvert køb foretaget af offeret generere tilknyttede bonusbetalinger til de hvilende farveproducenter.

Det faktum, at mange af disse udvidelser blev efterladt i de officielle butikker til både Chrome og Edge og akkumulerede så mange downloads, kaster en skygge af det sikkerhedsniveau, der tilbydes af sådanne officielle platforme, som normalt betragtes som sikre.