Bir tarayıcı uzantısı kampanyası olan Dormant Colors’ın tarayıcı verilerini çaldığı ve arama sonuçlarını ve binlerce siteye olan üyeliği ele geçirdiği tespit edildi.
“Dormant Colors” lakaplı bu kampanya, Chrome ve Edge için bir zamanlar ilgili mağazalarında mevcut olan (şu anda orada bulamazsınız) en az 30 çeşit tarayıcı uzantısı içerir. Kampanya bu şekilde adlandırıldı çünkü tüm uzantılar tarayıcı renk özelleştirme seçenekleri sunuyor ve “kötülükleri” yaratıcıları tarafından tetiklenene kadar uykuda kalıyor.
Dormant Colors kampanyasına ait 30 tarayıcı uzantısının kapsamlı listesi. Bunların, simgeleriyle birlikte uzantı adları olduğunu unutmayın. (Kaynak: Guardio)
Araştırmacılara göre kampanya, web sayfalarındaki reklamlar veya sunulan video ve indirme bağlantılarından yönlendirmeler şeklinde kötü amaçlı reklamcılıkla başlıyor. Bir site ziyaretçisi bir reklamın sunduğu şeyi indirmeye veya bir video akışı izlemeye çalışırsa, önce bir uzantı indirmeleri gerektiğini bildiren bir sayfaya yönlendirilir. Tabii ki, bir uzantı asla gerekli değildir. Kullanıcıları bir uzantı indirmesinin gerekli olduğuna inandırmak için kampanyanın bir parçasıdır.
Ziyaretçiler indirmeyi onayladığında, yukarıdaki 30 uzantıdan biri tarayıcıya yüklenir. Uzantı daha sonra kullanıcıları, kullanıcı aramalarını ele geçirmeye ve bağlı kuruluş bağlantıları eklemeye başlaması talimatını veren kötü amaçlı komut dosyalarını gizlice yandan yükleyen çeşitli sayfalara yönlendirir.
Uzantı, kullanıcı aramalarını ele geçirirken, arama sorgusu sonuçlarını, uzantı geliştiricilerine bağlı sitelerden gelen sonuçları gösterecek şekilde yönlendirir. Bunu yapmak, onlara reklam gösterimlerinden ve arama verilerinin satışından para kazandırır.
Gizli uzantı geliştiricilerinin haksız yere para kazanmasının bir başka yolu da, kullanıcıları URL’ye bağlı bir bağlantı ekleyerek aynı sayfaya yönlendirmektir. Örneğin, bir kullanıcı ziyaret eder 365games.co.uk video oyunu ürünleri satın almak için. Bu sitenin varsayılan sayfasının yüklenmesi tamamlandıktan sonra, uzantı, kullanıcıyı aynı sayfaya yönlendirir, ancak bir bağlı kuruluş bağlantısı içerir. Adres çubuğundaki URL şuna benzer: 365games.co.uk/{bağlı kuruluşla ilgili dize}.
Amazon, AliExpress ve porno sitelerini ziyaret eden kullanıcılar, bu kampanyadan etkilendiklerinde bağlı kuruluş yönlendirmelerini görmeyi beklemelidir.
Ortalama bir internet kullanıcısının bu kampanyanın hızlı ve kolay para kazanma planlarını neredeyse hiç fark etmemesi endişe verici çünkü bu kampanya ele geçirme ve URL çabukluğunun ötesine geçme potansiyeline sahip. Guardio araştırmacıları, geliştiricilerin uzantılarını kullanıcıları, özellikle işle ilgili hesaplarda oturum açmak için kullanılan kimlik bilgilerini çalmak üzere kimlik avı sayfalarına yönlendirecek şekilde programlayabileceklerini söylüyor. Ayrıca, uzantıya kullanıcıları bir kötü amaçlı yazılım indirme sitesine yönlendirmesini söyleyen yandan yüklenen kod da yazabilirler.
Guardio araştırmacıları, tam yazılarında, “Bu kampanya hala çalışıyor ve etki alanlarını değiştiriyor, yeni uzantılar oluşturuyor ve kesinlikle yönetebileceğiniz daha fazla renk ve stil değiştiren işlevleri yeniden icat ediyor” dedi. “Günün sonunda, yalnızca üyelik ücretleri sırtınızdan tahsil edilmiyor, aynı zamanda kimlik bilgilerini toplayarak ve hesapları ve finansal verileri ele geçirerek kuruluşları hedef alabilecek şekillerde gizliliğiniz ve internet deneyiminiz burada tehlikeye atılıyor.”