Couleurs dormantes

Une campagne de publicité malveillante diffusant des extensions de navigateur invasives a réussi à accumuler plus d'un million d'installations. Les cybercriminels ont publié 30 variantes différentes de ces extensions, réparties dans les magasins Web Chrome et Edge. Toutes les extensions sont présentées comme des outils, offrant aux utilisateurs la possibilité de personnaliser les schémas de couleurs sur les sites Web visités et de contenir le mot "couleur" dans leurs noms - Mega Colors , Colors Scale , Border Colors et bien d'autres. L'ensemble de la campagne a été nommé « Dormant Colors » par des chercheurs en cybersécurité qui ont publié un rapport détaillé à ce sujet.

Chaîne d'infection

Les utilisateurs sont attirés vers les extensions intrusives en visitant d'abord un site Web douteux qui fournit soi-disant du contenu vidéo ou des fichiers à télécharger. Au lieu de cela, les visiteurs verront des publicités ou seront redirigés vers un autre site, affirmant qu'ils doivent d'abord installer une extension de navigateur pour continuer. En acceptant les invites présentées, les utilisateurs accepteront l'installation de l'une des extensions de navigateur "couleurs".

Lorsque l'extension est activée sur le système, elle commence à rediriger les utilisateurs vers des pages supplémentaires offrant la possibilité de charger latéralement des scripts corrompus. De cette façon, l'extension recevra des instructions sur la manière de procéder à son piratage de recherche et sur quels sites spécifiques injecter des liens d'affiliation. En pratique, lorsque les utilisateurs lancent une recherche, leur requête de recherche sera détournée, et ils se verront présenter des résultats contenant des sites affiliés aux opérateurs du PUP (Programme Potentiellement Indésirable), générant des bénéfices pour eux via des impressions publicitaires ou la vente potentielle de données de recherche.

Exploitation des programmes d'affiliation

Les extensions de navigateur de la campagne Dormant Colors peuvent intercepter la navigation des utilisateurs et les diriger automatiquement vers une page d'une longue liste de 10 000 sites Web qui auront des liens affiliés ajoutés à leur URL. Par la suite, tout achat effectué sur la page visitée générera également de l'argent pour les fraudeurs, en raison de la balise affiliée incluse.

Les chercheurs en cybersécurité préviennent que les opérateurs de Dormant Colors pourraient facilement commencer à effectuer des actions beaucoup plus menaçantes. En utilisant la même technique de chargement latéral de code compromis, ils pourraient rediriger les victimes vers des pages de phishing dédiées se faisant passer pour des domaines légitimes ou des portails de connexion. Les faux sites pourraient demander aux utilisateurs de fournir des informations sensibles qui pourraient ensuite être mises à la disposition des fraudeurs. Les victimes risquent de voir leurs informations d'identification de compte pour des applications importantes - Microsoft 365, les banques, Google Workspace ou les plateformes de médias sociaux compromises.