Угонщик браузера, выдававший себя за программу смены цвета, заразил миллионы людей

Вредоносные расширения браузера, скрывающиеся за какой-то безобидной функциональностью, такой как смена цвета, не являются чем-то новым. Однако «Дремлющие цвета» — это отдельная история.

Dormant Colors — это название группы мошеннических расширений для браузеров, которые агрессивно продвигались в рамках масштабной кампании вредоносной рекламы и в конечном итоге были установлены в миллионах браузеров.

Группа вредоносных расширений Dormant Colors была обнаружена исследователями Guardio Security. В их отчете подробно описано около 30 различных расширений браузера, которые распространялись различными способами, в том числе размещались в магазинах дополнений Chrome и Edge. Вредоносный код был загружен сбоку, чтобы избежать обнаружения как можно дольше.

Одним из основных векторов распространения расширений Dormant Colors было использование вводящих в заблуждение страниц, которые вынуждают пользователя устанавливать расширение, чтобы увидеть предполагаемый контент на вводящей в заблуждение странице — еще одна распространенная тактика, используемая многими угонщиками браузера, но обычно с использованием push-уведомлений и без принудительной установки расширения.

Расширения Dormant Color перехватывают результаты поиска и возвращают совпадения со спонсируемых страниц, связанных с лицом, стоящим за кампанией, продвигающей Dormant Colors.

Вредоносные расширения также могут добавлять партнерские ссылки к URL-адресам, которые пользователь нажимает при посещении ошеломляющих 10 тысяч сайтов — еще один способ получения дохода за счет ничего не подозревающей жертвы. Как только такой партнерский URL-адрес загружается в браузер, каждая покупка, сделанная жертвой, будет генерировать партнерские бонусные выплаты для создателей Dormant Color.

Тот факт, что многие из этих расширений остались в официальных магазинах как для Chrome, так и для Edge и накопили такое огромное количество загрузок, бросает тень на уровень безопасности, предлагаемый такими официальными платформами, которые обычно считаются безопасными.