擁有超過100萬安裝的Chrome擴(kuò)展劫持搜索

發(fā)現(xiàn)了一個(gè)新的惡意廣告活動(dòng)。安裝量為100萬的Chrome擴(kuò)展程序是罪魁禍?zhǔn)祝驗(yàn)樗鼈兊哪繕?biāo)是劫持搜索并將聯(lián)盟鏈接插入網(wǎng)頁中。

這已經(jīng)被Guardio實(shí)驗(yàn)室的研究人員發(fā)現(xiàn)，并由嗶嗶聲計(jì)算機(jī)報(bào)告。順便說一句，該活動(dòng)被命名為“休眠的顏色”。

安裝量超過100萬的Chrome擴(kuò)展程序劫持搜索

話雖如此，到2022年10月中旬，Chrome和Edge網(wǎng)上商店都提供了30種瀏覽器擴(kuò)展程序變體。它們一起安裝了超過100萬次。您可以在下面查看附加組件的完整列表。

感染是如何開始的?好吧，“在訪問提供視頻或下載的網(wǎng)頁時(shí)帶有廣告或重定向”，嗶嗶聲計(jì)算機(jī)說。當(dāng)用戶嘗試下載程序或觀看視頻時(shí)，他將被重定向到另一個(gè)站點(diǎn)，這將導(dǎo)致Chrome / Edge擴(kuò)展程序的安裝。

如果您單擊“確定”和“繼續(xù)”，系統(tǒng)將提示您安裝上圖中列出的顏色更改擴(kuò)展之一。安裝后，這些擴(kuò)展基本上將用戶重定向到旁加載惡意腳本的各種頁面。這些腳本將推動(dòng)這些擴(kuò)展執(zhí)行搜索劫持，并指示他們?cè)谀男┚W(wǎng)站上插入聯(lián)盟鏈接。

“第一個(gè)在頁面上動(dòng)態(tài)創(chuàng)建元素，同時(shí)拼命地試圖混淆JavaScript API調(diào)用，”Guardio報(bào)告稱。

該報(bào)告還添加了以下內(nèi)容：“這兩個(gè)HTML元素(顏色樣式和colorrgbstylesre)都包含內(nèi)容(InnerText)，第一個(gè)是字符串和正則表達(dá)式的'#'分隔列表，最后一個(gè)是逗號(hào)分隔的10k +域列表。為了完成它，它還為位置對(duì)象分配了一個(gè)新的URL，以便您將重定向到完成此流的廣告，因?yàn)樗皇橇硪粋€(gè)廣告彈出窗口“。