Guardio Labs の専門家 発見しました Google Chrome と Microsoft Edge の悪意のある拡張機能を配布する Dermant Colors による新しい悪意のあるキャンペーン.
私たちもそう書いたことを思い出させてください 新しい Windows トロイの木馬がパスワードを盗む クロム そしてそれらを保存します モンゴDB データベース.
より多い 30 拡張子, 以上インストールされている 1,000,000 合計で回, 検索結果に「アフィリエイト」リンクを導入し、ユーザーを悪意のあるサイトにリダイレクトする.
キャンペーン名は ダーマントカラー すべての拡張機能はユーザーにカスタムの色設定を提供し、被害者に侵入するためです。’ 検出を回避するための悪意のあるコードを持たないコンピュータ. 専門家によると, 10月中旬までに 2022, 30 このような拡張機能のバリアントは Chrome で利用可能でした。 角 オンラインストア.
このような拡張機能による感染は、ビデオの視聴やソフトウェアのダウンロードを提供するさまざまなサイトから始まります。. ソフトウェアをダウンロードするときやビデオを見ようとするとき, 被害者は別のサイトにリダイレクトされる, 継続するためには, 彼女は特別な拡張機能を緊急にインストールする必要があります.
ユーザーが同意する場合, 彼は、色をカスタマイズする一見無害な拡張機能をインストールするように求められます。. しかし, インストールされたら, 拡張機能は、検索結果とそのリンクへの埋め込み方法を拡張機能に正確に指示する悪意のあるスクリプトを使用して、ユーザーをさまざまなページにリダイレクトします。 “相棒” 見せるサイト.
攻撃計画
結果として, 拡張機能は被害者の検索クエリをリダイレクトし、拡張機能開発者のパートナー サイトから結果を返します。, これにより、広告インプレッションと検索データの販売から収入を得ることができます。.
そのうえ, Dormant Colors 拡張機能は、長いリストに基づいて閲覧データも傍受します。 10,000 サイト. 被害者を自動的に同じページにリダイレクトします, URL にアフィリエイト リンクが追加されている場合のみ. アドレスにアフィリエイトタグを実装した後, サイトで購入するとマルウェア開発者に手数料が発生します.
以下のビデオで, 研究者らは拡張機能のこの動作を実証しています.
専門家 警告する 悪意のあるコードをサイドローディングする同じ手法を使用するもの, Dormant Colors のオペレーターはより危険な行為を実行できる. 例えば, 被害者をフィッシング ページにリダイレクトして認証情報を盗みます。 マイクロソフト 365, Google ワークスペース, 銀行サイト, またはソーシャルネットワーク. これをする, マルウェアのオペレーターは追加のスクリプトをダウンロードするだけで済みます。.
考えられる攻撃の代替スキーム
専門家によって発見されたすべての拡張機能は現在削除されていますが、, 研究者らは、このキャンペーンは新しい拡張機能やドメインで常に更新されるため、ユーザーは常に警戒するよう呼びかけています。.
コメントを残す