Seqüestrador de navegador posando como trocador de cores infecta milhões
Extensões de navegador maliciosas escondidas atrás de algum tipo de funcionalidade inócua, como um trocador de cores, não são novidade. Dormant Colors, no entanto, é uma história à parte.
Dormant Colors é o nome de um grupo de extensões de navegador desonestas que foram empurradas agressivamente por meio de uma campanha de malvertising em grande escala e acabaram instaladas em milhões de navegadores.
A constelação Dormant Colors de extensões maliciosas foi descoberta por pesquisadores da Guardio Security. Seu relatório detalha cerca de 30 extensões de navegador diferentes que foram distribuídas por vários métodos, inclusive hospedadas nas lojas de complementos Chrome e Edge. O código malicioso foi carregado lateralmente para evitar a detecção pelo maior tempo possível.
Um dos principais vetores de distribuição das extensões Dormant Colors foi o uso de páginas enganosas que forçam o usuário a instalar a extensão para ver o conteúdo alegado na página enganosa - outra tática comum usada para empurrar muitos sequestradores de navegador, mas geralmente usando notificações push e não forçando uma instalação de extensão.
As extensões Dormant Color executam o sequestro de pesquisa e retornam correspondências de páginas patrocinadas, afiliadas à entidade por trás da campanha que empurra Dormant Colors.
As extensões maliciosas também podem anexar links de afiliados aos URLs que o usuário acessa ao visitar impressionantes 10 mil sites - outro método para gerar receita nas costas da vítima desavisada. Uma vez que tal URL de afiliado seja carregado no navegador, cada compra feita pela vítima gerará pagamentos de bônus de afiliado para os fabricantes de Dormant Color.
O fato de muitas dessas extensões terem sido deixadas nas lojas oficiais para Chrome e Edge e acumularem uma quantidade tão grande de downloads lança uma sombra sobre o nível de segurança oferecido por essas plataformas oficiais, que geralmente são consideradas seguras.
