Colores inactivos

Una campaña de publicidad maliciosa que difunde extensiones de navegador invasivas ha logrado acumular más de un millón de instalaciones. Los ciberdelincuentes han lanzado 30 variantes diferentes de estas extensiones, distribuidas en las tiendas Chrome y Edge Web. Todas las extensiones se presentan como herramientas, ofreciendo a los usuarios la capacidad de personalizar los esquemas de color en los sitios web visitados y contienen la palabra 'color' como parte de sus nombres: Mega Colors , Colors Scale , Border Colors y muchos más. Toda la campaña fue nombrada 'Colores dormidos' por los investigadores de seguridad cibernética que publicaron un informe detallado al respecto.

Cadena de infección

Los usuarios se sienten atraídos por las extensiones intrusivas al visitar primero un sitio web dudoso que supuestamente proporciona contenido de video o archivos para descargar. En cambio, los visitantes verán anuncios o serán redirigidos a un sitio diferente, afirmando que primero deben instalar una extensión del navegador para continuar. Al aceptar las indicaciones presentadas, los usuarios aceptarán la instalación de una de las extensiones de navegador de 'colores'.

Cuando la extensión se activa en el sistema, comenzará a redirigir a los usuarios a páginas adicionales que tienen la capacidad de descargar secuencias de comandos corruptas. De esta forma, la extensión recibirá instrucciones sobre cómo proceder con su secuestro de búsqueda y en qué sitios específicos inyectar enlaces de afiliados. En la práctica, cuando los usuarios inician una búsqueda, su consulta de búsqueda será secuestrada y se les presentarán resultados que contienen sitios afiliados a los operadores del PUP (Programa potencialmente no deseado), generando ganancias para ellos a través de impresiones de anuncios o la venta potencial de buscar datos

Explotación de programas de afiliados

Las extensiones de navegador de la campaña Dormant Colors pueden interceptar la navegación de los usuarios y conducirlos automáticamente a una página de una extensa lista de 10 000 sitios web que tendrán enlaces afiliados adjuntos a su URL. Posteriormente, cualquier compra realizada en la página visitada también generará dinero para los estafadores, debido a la etiqueta de afiliado incluida.

Los investigadores de ciberseguridad advierten que los operadores de Dormant Colors fácilmente podrían comenzar a realizar acciones mucho más amenazantes. Mediante el uso de la misma técnica de carga lateral de código comprometido, podrían redirigir a las víctimas a páginas de phishing dedicadas que se hacen pasar por dominios legítimos o portales de inicio de sesión. Los sitios falsos podrían pedir a los usuarios que proporcionen información confidencial que luego podría estar disponible para los estafadores. Las víctimas corren el riesgo de que se vean comprometidas las credenciales de sus cuentas para aplicaciones importantes: Microsoft 365, bancos, Google Workspace o plataformas de redes sociales.