Исследователи из компании Guardio Security зафиксировали «масштабную кампанию» по распространению вредоносных расширений браузера с целью сбора данных. Аналитики дали ей название «Dermant Colors», поскольку вредоносное ПО фокусируется на цветовых и стилевых темах. Dormant Colors состоит из 30 расширений, которые успели скачать миллионы пользователей.
На первый взгляд безобидные расширения позиционируют себя как модификаторы веб-страниц. Они якобы позволяют пользователям изменять цвет фона и стили шрифта на веб-страницах. На самом деле они смотрят историю посещённых страниц и поисковых запросов, вставляют рекламу и скачивают вредоносный код. Всё это происходит незаметно для жертв. В итоге формируется сеть инфицированных компьютеров, которую злоумышленники могут задействовать с разными нехорошими целями.
30 расширений работают в Chrome и Edge. Они располагаются в репозиториях Google и Microsoft, хотя обе компании удалили большинство из них. Это никак не помогает тем, кто уже установил расширения. Тем более что их можно легко переименовать и загрузить с другой учётной записи.
Эти программы позволяют нацеливаться на отдельных пользователей и целые домены. Применяются поддельные результаты поиска, захват сайтов и целевой фишинг. Крадутся сведения из браузера и отправляются на сервер. Там хакеры могут использовать данные для обновлений расширений новыми векторами атак с применением «тихой инъекции кода».
Обычно модераторы Google и Microsoft способны увидеть явно вредоносный код и не пускать его в магазины. Эти расширения созданы таким образом, что проходят проверку. Просмотр кода показывает множество функций, связанных с цветом и стилем, с такими именами, как cssbgcolors() и setlightmodes().
В попадающих в магазин расширениях нет явного вредоносного кода. Проблему приносят поддельные веб-страницы, которые эти расширения предлагают пользователям установить. Пользователь перенаправляется на страницу «спасибо», потом ряд других перенаправлений загружает вредоносное ПО.
Таким образом, следует с осмотрительностью относиться к установке расширений для браузера, даже если они якобы из надёжного источника, пишет Techspot.