Ruhende Farben

Eine Malvertising-Kampagne, die invasive Browsererweiterungen verbreitet, hat es geschafft, über eine Million Installationen zu erreichen. Die Cyberkriminellen haben 30 verschiedene Varianten dieser Erweiterungen veröffentlicht, die über die Chrome- und Edge-Webshops verteilt sind. Alle Erweiterungen werden als Tools präsentiert, die Benutzern die Möglichkeit bieten, die Farbschemata auf besuchten Websites anzupassen und das Wort "Farbe" als Teil ihres Namens zu enthalten - Mega Colors , Colors Scale , Border Colors und viele mehr. Die gesamte Kampagne wurde von Cybersicherheitsforschern, die einen ausführlichen Bericht darüber veröffentlichten, „Schlummernde Farben“ genannt.

Infektionskette

Nutzer werden auf die aufdringlichen Erweiterungen gelockt, indem sie zunächst eine dubiose Website besuchen, die angeblich Videoinhalte oder Dateien zum Download anbietet. Stattdessen sehen Besucher Werbung für eine andere Website oder werden zu einer anderen Website weitergeleitet, die behauptet, dass sie zuerst eine Browsererweiterung installieren müssen, um fortzufahren. Durch die Zustimmung zu den angezeigten Eingabeaufforderungen akzeptieren die Benutzer die Installation einer der „Farben“-Browsererweiterungen.

Wenn die Erweiterung auf dem System aktiviert wird, leitet sie Benutzer auf zusätzliche Seiten um, die die Möglichkeit bieten, beschädigte Skripte von der Seite zu laden. Auf diese Weise erhält die Erweiterung Anweisungen, wie sie mit der Suche nach Hijacking fortfahren und auf welchen spezifischen Websites Affiliate-Links eingefügt werden sollen. In der Praxis wird, wenn Benutzer eine Suche starten, ihre Suchanfrage entführt, und ihnen werden Ergebnisse präsentiert, die Websites enthalten, die mit den Betreibern des PUP (Potentially Unwanted Program) verbunden sind, wodurch sie Gewinne durch Anzeigenimpressionen oder den potenziellen Verkauf von erhalten Suchdaten.

Nutzung von Partnerprogrammen

Die Browser-Erweiterungen der Kampagne „Dormant Colors“ können das Surfen der Benutzer abfangen und sie automatisch zu einer Seite aus einer umfangreichen Liste von 10.000 Websites führen, deren URL verbundene Links angehängt sind. Danach generieren alle Käufe, die auf der besuchten Seite getätigt werden, aufgrund des enthaltenen Affiliate-Tags auch Geld für die Betrüger.

Cybersicherheitsforscher warnen davor, dass die Betreiber von Dormant Colors leicht weitaus bedrohlichere Aktionen ausführen könnten. Durch die Verwendung der gleichen Seitenladetechnik für kompromittierten Code könnten sie Opfer auf dedizierte Phishing-Seiten umleiten, die sich als legitime Domänen oder Anmeldeportale ausgeben. Die gefälschten Websites könnten Benutzer auffordern, vertrauliche Informationen bereitzustellen, die dann den Betrügern zugänglich gemacht werden könnten. Opfer riskieren, dass ihre Kontoanmeldeinformationen für wichtige Anwendungen – Microsoft 365, Banken, Google Workspace oder Social-Media-Plattformen – kompromittiert werden.