Ούτε μία, ούτε δύο, αλλά τριάντα επεκτάσεις του Chrome με συνολικά 1 εκατομμύριο εγκαταστάσεις βρέθηκαν να προωθούν κακόβουλες διαφημίσεις
Ερευνητές από το Guardio Labs ανακάλυψαν μια νέα καμπάνια κακόβουλης διαφήμισης, όπου μέσω επεκτάσεων του Google Chrome παραβιάζουν τις αναζητήσεις σας και εισάγουν συνδέσμους δικών τους συνεργατών σε ιστοσελίδες που επισκέπτεστε.
Όλες αυτές οι επεκτάσεις κατά βάση προσφέρουν επιλογές προσαρμογής χρωμάτων του Chrome, και έρχονται στο μηχάνημα του θύματος χωρίς κακόβουλο κώδικα, ώστε να αποφύγουν τον εντοπισμό. Οι αναλυτές ονόμασαν την καμπάνια “Dormant Colors”.
Σύμφωνα με την έκθεση της Guardio Labs, μέχρι τα μέσα Οκτωβρίου 2022, 30 παραλλαγές των επεκτάσεων του προγράμματος περιήγησης ήταν διαθέσιμες τόσο στο Chrome όσο και στα διαδικτυακά καταστήματα Edge, συγκεντρώνοντας πάνω από ένα εκατομμύριο εγκαταστάσεις.
Η μόλυνση ξεκινά με διαφημίσεις ή ανακατευθύνσεις όταν επισκέπτεστε ιστοσελίδες που προσφέρουν βίντεο ή λήψη. Επιπλέον, όταν προσπαθείτε να κατεβάσετε το αρχείο ή να παρακολουθήσετε το βίντεο, ανακατευθύνεστε σε άλλο ιστότοπο δηλώνοντας ότι πρέπει να εγκαταστήσετε μια επέκταση για να συνεχίσετε, όπως φαίνεται παρακάτω.
Όταν ο επισκέπτης κάνει κλικ στο κουμπί «ΟΚ» ή «Συνέχεια», τότε του ζητείται να εγκαταστήσει μια επέκταση που αλλάζει χρώμα με αβλαβή εμφάνιση.
Όμως, όταν εγκατασταθούν για πρώτη φορά αυτές οι επεκτάσεις, θα ανακατευθύνουν τους χρήστες σε διάφορες σελίδες με κακόβουλα σενάρια (scripts) τα οποία με την σειρά τους καθοδηγούν την επέκταση σχετικά με τον τρόπο εκτέλεσης της εισβολής και σε ποιους ιστότοπους να εισάγει συνδέσμους συνεργατών τους.
Μόλις προσαρτηθούν οι σύνδεσμοι συνεργατών τους στη διεύθυνση URL, οποιαδήποτε αγορά πραγματοποιηθεί στον ιστότοπο θα δημιουργήσει μια προμήθεια για τους κακόβουλους προγραμματιστές.
Οι ερευνητές προειδοποιούν ότι χρησιμοποιώντας την ίδια μυστικά κακόβουλη τεχνική φόρτωσης κώδικα, οι χειριστές του Dormant Colors θα μπορούσαν να επιτύχουν δυνητικά πιο άσχημα πράγματα από την απλή προώθηση διαφημίσεων. Θα μπορούσαν να ανακατευθύνουν τα θύματα σε σελίδες phishing για να κλέψουν διαπιστευτήρια για τους ιστότοπους που επισκέπτεστε, συμπεριλαμβανομένων και των τραπεζικών ιστότοπων.
Οι κακόβουλες επεκτάσεις έχουν ήδη αφαιρεθεί από τα καταστήματα του Chrome και Edge, αλλά οι ερευνητές προειδοποιούν ότι η καμπάνια ανανεώνεται συνεχώς με νέα ονόματα επεκτάσεων.