“休眠颜色”活动运行超过1M个恶意Chrome扩展

Guardio Labs的研究人员发现了一个新的恶意广告运动，名为”休眠颜色”，旨在提供恶意的谷歌Chrome扩展。

 Chrome扩展劫持搜索并在网页中插入附属链接。

专家们称之为”休眠颜色”运动，因为扩展提供了颜色定制选项。

 “它从棘手的恶意广告活动开始，以一种狡猾的新方法继续边荷载真正的恶意代码，没有人注意到(直到现在! )，最后窃取不仅你的搜索和浏览数据，而且从属于10，000目标站点- -一个很容易被用于目标矛钓鱼，帐户接管和凭证提取的能力- -所有这些都使用这个强大的网络数百万受感染的计算机在全世界! “

到2022年10月中旬，研究人员在Chrome和Edge网络商店中发现了至少30种这些扩展的变体。

恶意浏览器扩展的安装次数超过一百万次。

专家们注意到，在它的初始状态下，Chrome扩展的代码并不包括恶意组件，但后来在代码中添加了恶意代码片段。

攻击链依赖于恶意广告消息，这些消息是为了欺骗受害者点击安装按钮。

当点击”确定”或”继续”按钮时，提示受害者安装一个颜色变化的扩展。

一旦安装了这些扩展，它们将把用户重定向到修改浏览器行为的边荷载恶意脚本的各个页面。

扩展能够劫持搜索，并返回附属链接作为结果。该计划允许威胁行为者从这些网站的流量中获得收入，并窃取数据。

专家指出，这些恶意扩展比其他搜索劫持者更多，因为它们包括”代码更新和遥测收集的隐形模块，以及从数百万用户那里收集数据的服务器骨干”。收集的数据用于对潜在目标进行分类，并选择最佳的社会工程攻击向量来攻击目标并窃取凭据。

“休眠颜色”行动依靠与10000个目标网站的联系，并利用全世界数百万受感染计算机的网络。

攻击者将加盟标签附加到URL上，在网站上进行的任何购买都会给运营商带来佣金。

下面是研究人员发布的一段视频，显示了365games . co . uk购物网站的从属关系劫持。该视频显示地址栏充满了从属关系源数据。

显然，同样的过程可以用于将受害者重定向到钓鱼页面，以窃取流行服务的凭据，包括微软365、网上银行和社交媒体平台。

”这个广告系列仍然在运行，转移域名，生成新的扩展，并重新发明更多的颜色和风格流变功能，你可以放心地管理。除此之外，这里分析的代码注入技术是用于缓解和逃避的巨大基础设施，并允许在未来利用该活动来进行更多的恶意活动。该报告还包括了该运动的妥协指标( IoCs )。在一天结束的时候，它不仅是在你的背上收取的附属费用，这是你的隐私，以及你的互联网体验在这里被妥协，以通过获取凭证和劫持账户和财务数据的方式来攻击组织。“