Guardio Labs 的研究人员发现了一个新的恶意广告活动,该活动推动了谷歌 Chrome 扩展程序,该扩展程序劫持了搜索并将附属链接插入网页。
由于所有这些扩展都提供了颜色自定义选项,并且到达受害者的机器时没有恶意代码来逃避检测,因此分析师将该活动命名为“休眠颜色”。
根据 Guardio 的报告,到 2022 年 10 月中旬,Chrome 和 Edge 网络商店都提供了 30 种浏览器扩展变体,安装量超过一百万
(Guardio)
不仅仅是劫持
当访问提供视频或下载的网页时,感染开始于广告或重定向。
但是,当您尝试下载程序或观看视频时,您会被重定向到另一个站点,说明您必须安装扩展程序才能继续,如下所示。
当访问者单击“确定”或“继续”按钮时,系统会提示他们安装一个看起来无害的变色扩展程序。
但是,当这些扩展程序首次安装时,它们会将用户重定向到各种页面,这些页面会加载恶意脚本,这些脚本会指导扩展程序如何执行搜索劫持以及在哪些站点上插入附属链接。
“第一个在页面上动态创建元素,同时拼命尝试混淆 JavaScript API 调用,” Guardio 报告解释道。
“这两个 HTML 元素(colorstylecsse 和 colorrgbstylesre)都包含内容(InnerText),第一个是 ‘#’ 分隔的字符串和正则表达式列表,最后一个是逗号分隔的 10k+ 域列表。”
“为了完成它,它还为位置对象分配了一个新的 URL,因此你被重定向到最终确定此流程的广告,因为它只是另一个广告弹出窗口。”
(Guardia)
在执行搜索劫持时,扩展程序将重定向搜索查询以返回与扩展程序开发人员关联的网站的结果,从而从广告展示和搜索数据销售中获得收入。
Dormant Colors 不仅如此,还通过自动将用户重定向到同一页面来劫持受害者在 10,000 个网站的广泛列表上的浏览,但这次是在 URL 上附加了附属链接。
将附属标签附加到 URL 后,在网站上进行的任何购买都会为开发人员产生佣金。
Guardio 还分享了一段视频,展示了从属关系劫持组件,如下所示。
更多潜力
研究人员警告说,使用相同的隐蔽恶意代码侧载技术,休眠颜色的运营商可能会实现比劫持附属机构更糟糕的事情。
研究人员表示,有可能将受害者重定向到网络钓鱼页面,以窃取 Microsoft 365、Google Workspace、银行网站或社交媒体平台的凭据。
虽然没有迹象表明这些活动正在执行这种更恶意的行为,但研究人员表示,只需通过侧面加载额外的脚本即可启用它。
报告的 IoC 部分中列出的扩展程序和网站已被删除/下线,但研究人员警告说,该操作会不断更新新的附加名称和域。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 拥有100万安装量的Chrome扩展程序劫持目标的浏览器
