Dormant Colors - это обширная кампания вредоносных расширений с миллионами активных установок по всему миру, на этот раз с цветовой тематикой и полным обманом по всей цепочке.
Кампания начинается с вредоносной рекламы в виде объявлений на веб-страницах или перенаправлений с видео и ссылок на скачивание. Если посетитель сайта нажимает на рекламу, он перенаправляется на страницу, где ему сообщается о необходимости загрузить расширение. После того как посетитель подтверждает загрузку, в браузер устанавливается одно из 30 расширений. Затем расширение перенаправляет пользователей на различные страницы, на которых загружаются вредоносные скрипты, которые инструктируют расширение начать перехватывать поисковые запросы пользователей и вставлять партнерские ссылки.
Когда пользователь перехватывает поиск, расширение перенаправляет результаты поисковых запросов на сайты, связанные с разработчиками расширения. Расширение также включает скрытые модули для обновления кода и сбора телеметрии, а также костяк серверов, собирающих данные миллионов пользователей и классифицирующих потенциальные цели.
Разработчики расширений могут легко направить эти расширения на фишинговые страницы или даже прямо указать пользователям на загрузку вредоносного ПО.
Indicators of Compromise
Domains
- 005gs.com
- 188xs.xyz
- 666xs.xyz
- bvii.xyz
- changecolorss.com
- cs5s.xyz
- dgopx.xyz
- eisx.xyz
- eisx2.xyz
- eisx3.xyz
- eisx4.xyz
- isloov.com
- lkbx.me
- lso1.xyz
- lso2.xyz
- pelsx.xyz
- productivitytab.co
- rssok.xyz
- sikxsx.xyz
- simpledark-tab.com
- smashaff.com
- smashofferss.com
- smashsearches.com
- sokjs.xyz
- superofferss.com
- toodipex-sucticago.icu
- udjx.xyz
- vnhs.xyz
- websearches.club
- xcfss.xyz
- xcfss2.xyz
- xcfss3.xyz
- yt5ds.xyz
- zcgxd.xyz