Dormant Colors Campaign IOCs

security IOC

Dormant Colors - это обширная кампания вредоносных расширений с миллионами активных установок по всему миру, на этот раз с цветовой тематикой и полным обманом по всей цепочке.


Кампания начинается с вредоносной рекламы в виде объявлений на веб-страницах или перенаправлений с видео и ссылок на скачивание. Если посетитель сайта нажимает на рекламу, он перенаправляется на страницу, где ему сообщается о необходимости загрузить расширение. После того как посетитель подтверждает загрузку, в браузер устанавливается одно из 30 расширений. Затем расширение перенаправляет пользователей на различные страницы, на которых загружаются вредоносные скрипты, которые инструктируют расширение начать перехватывать поисковые запросы пользователей и вставлять партнерские ссылки.

Когда пользователь перехватывает поиск, расширение перенаправляет результаты поисковых запросов на сайты, связанные с разработчиками расширения. Расширение также включает скрытые модули для обновления кода и сбора телеметрии, а также костяк серверов, собирающих данные миллионов пользователей и классифицирующих потенциальные цели.

Разработчики расширений могут легко направить эти расширения на фишинговые страницы или даже прямо указать пользователям на загрузку вредоносного ПО.

Indicators of Compromise

Domains

  • 005gs.com
  • 188xs.xyz
  • 666xs.xyz
  • bvii.xyz
  • changecolorss.com
  • cs5s.xyz
  • dgopx.xyz
  • eisx.xyz
  • eisx2.xyz
  • eisx3.xyz
  • eisx4.xyz
  • isloov.com
  • lkbx.me
  • lso1.xyz
  • lso2.xyz
  • pelsx.xyz
  • productivitytab.co
  • rssok.xyz
  • sikxsx.xyz
  • simpledark-tab.com
  • smashaff.com
  • smashofferss.com
  • smashsearches.com
  • sokjs.xyz
  • superofferss.com
  • toodipex-sucticago.icu
  • udjx.xyz
  • vnhs.xyz
  • websearches.club
  • xcfss.xyz
  • xcfss2.xyz
  • xcfss3.xyz
  • yt5ds.xyz
  • zcgxd.xyz

 

SEC-1275-1
Добавить комментарий