È stato identificato un grande sforzo di malvertising che sta dirottando le ricerche su Internet delle persone e inserendo link di affiliazione nelle pagine web. Secondo i ricercatori che hanno scoperto la campagna, gli sviluppatori guadagnano molto dalle commissioni di affiliazione e dalle vendite dei dati di ricerca.
Gli esperti di Guardio Labs hanno scoperto fino a 30 estensioni del browser sia per Chrome che per Edge che sono attive almeno da metà ottobre 2020 e sono state scaricate oltre un milione di volte. I ricercatori hanno scoperto che quando le vittime visitano vari siti che forniscono servizi di download di video, sono prima obbligate a scaricare l’estensione per procedere con il download.
Google Chrome, l’estensione sta creando alcuni problemi
Secondo i rapporti, l’estensione ha scelte di modifica del colore e nessun codice dannoso, consentendole di superare i test antivirus. Questo è anche il motivo per cui i ricercatori hanno scelto il nome “Colori dormienti” per la campagna. Tuttavia, una volta installata, l’estensione condurrà l’utente a un sito che esegue il sideload di JavaScript dannoso che istruisce l’estensione su come dirottare i risultati di ricerca e inserire link di affiliazione.
L’estensione sarebbe programmata per fornire risultati di ricerca per le ricerche effettuate su siti collegati agli sviluppatori, guadagnando entrate dalle impressioni degli annunci e dalle vendite dei dati di ricerca. Inoltre, include un elenco di reindirizzamenti di circa 10.000 siti Web. Se la vittima tentava di visitare uno di questi siti Web, veniva inviata ad esso, ma tramite un collegamento di affiliazione. Di conseguenza, ogni acquisto effettuato su tali siti comporterebbe una commissione per i creatori.
Sebbene la campagna possa sembrare una seccatura, non è dannosa per le vittime e non preleva direttamente denaro dai loro portafogli. I ricercatori avvertono, tuttavia, che gli stessi metodi possono essere utilizzati per rubare informazioni riservate o credenziali di accesso dagli obiettivi. Gli aggressori potrebbero ottenere le credenziali di Microsoft 365 o Google Workspace, nonché informazioni da siti bancari o piattaforme di social network, inviando gli utenti a un sito di phishing.