Guardio Labs의 전문가 발견했습니다 Google Chrome 및 Microsoft Edge용 악성 확장 프로그램을 배포하기 위한 Demant Colors의 새로운 악성 캠페인.
우리도 그렇게 썼다는 것을 상기시켜 드리겠습니다. 새로운 Windows 트로이 목마는 다음에서 비밀번호를 훔칩니다. 크롬 그리고 그것들을 저장합니다 몽고DB 데이터 베이스.
이상 30 확장, 이상 설치됨 1,000,000 총 횟수, 검색 결과에 "제휴" 링크를 도입하고 사용자를 악성 사이트로 리디렉션했습니다..
캠페인 이름은 더먼트 컬러 모든 확장 프로그램은 사용자에게 맞춤 색상 설정을 제공하고 피해자에게 침투하기 때문입니다.’ 탐지를 회피하기 위한 악성 코드가 없는 컴퓨터. 전문가에 따르면, 10월 중순까지 2022, 30 이러한 확장의 변형은 Chrome에서 사용할 수 있었고 가장자리 온라인 상점.
이러한 확장 프로그램에 의한 감염은 비디오 시청 또는 소프트웨어 다운로드를 제공하는 다양한 사이트에서 시작됩니다.. 소프트웨어를 다운로드하거나 비디오를 시청하려고 할 때, 피해자가 다른 사이트로 리디렉션됩니다, 계속하기 위해보고 된 곳, 그녀는 긴급하게 특수 확장 프로그램을 설치해야 합니다.
이용자가 동의하는 경우, 색상을 맞춤 설정하는 겉으로는 무해해 보이는 확장 프로그램을 설치하라는 메시지가 표시됩니다.. 하지만, 일단 설치되면, 확장 프로그램은 검색 결과와 링크에 삽입하는 방법을 확장 프로그램에 정확하게 알려주는 악성 스크립트가 포함된 다양한 페이지로 사용자를 리디렉션합니다. “파트너” 보여드릴 사이트.
공격 계획
결과적으로, 확장 프로그램은 피해자의 검색어를 리디렉션하고 확장 프로그램 개발자의 파트너 사이트에서 결과를 반환합니다., 광고 노출 및 검색 데이터 판매로 수익을 얻는 데 도움이 됩니다..
또 뭔데, Dormant Colors 확장 프로그램은 또한 긴 목록을 기반으로 검색 데이터를 가로챕니다. 10,000 사이트. 피해자를 동일한 페이지로 자동 리디렉션합니다., URL에 제휴 링크가 추가된 경우에만. 주소에 제휴 태그를 구현한 후, 사이트에서 구매하면 맬웨어 개발자에게 수수료가 발생합니다..
아래 영상에서, 연구원들은 이러한 확장 기능의 동작을 보여줍니다..
전문가 경고하다 악성 코드를 사이드로딩하는 것과 동일한 기술을 사용하는 것입니다., Dorman Colors의 운영자는 더 위험한 작업을 수행할 수 있습니다.. 예를 들어, 자격 증명을 훔치기 위해 피해자를 피싱 페이지로 리디렉션합니다. 마이크로소프트 365, Google 작업공간, 은행 사이트, 또는 소셜 네트워크. 이것을하기 위해, 맬웨어 운영자는 추가 스크립트를 다운로드하기만 하면 됩니다..
가능한 공격의 대체 계획
이제 전문가가 발견한 모든 확장 프로그램이 제거되었습니다., 연구원들은 이 캠페인이 새로운 확장 프로그램과 도메인으로 지속적으로 업데이트되므로 사용자에게 주의를 기울일 것을 촉구합니다..
코멘트를 남겨주세요