擁有超過100萬安裝的Chrome擴展劫持搜索

發(fā)現(xiàn)了一個新的惡意廣告活動。安裝量為100萬的Chrome擴展程序是罪魁禍?zhǔn)祝驗樗鼈兊哪繕?biāo)是劫持搜索并將聯(lián)盟鏈接插入網(wǎng)頁中。

這已經(jīng)被Guardio實驗室的研究人員發(fā)現(xiàn)，并由嗶嗶聲計算機報告。順便說一句，該活動被命名為“休眠的顏色”。

安裝量超過100萬的Chrome擴展程序劫持搜索

話雖如此，到2022年10月中旬，Chrome和Edge網(wǎng)上商店都提供了30種瀏覽器擴展程序變體。它們一起安裝了超過100萬次。您可以在下面查看附加組件的完整列表。

感染是如何開始的?好吧，“在訪問提供視頻或下載的網(wǎng)頁時帶有廣告或重定向”，嗶嗶聲計算機說。當(dāng)用戶嘗試下載程序或觀看視頻時，他將被重定向到另一個站點，這將導(dǎo)致Chrome / Edge擴展程序的安裝。

如果您單擊“確定”和“繼續(xù)”，系統(tǒng)將提示您安裝上圖中列出的顏色更改擴展之一。安裝后，這些擴展基本上將用戶重定向到旁加載惡意腳本的各種頁面。這些腳本將推動這些擴展執(zhí)行搜索劫持，并指示他們在哪些網(wǎng)站上插入聯(lián)盟鏈接。

“第一個在頁面上動態(tài)創(chuàng)建元素，同時拼命地試圖混淆JavaScript API調(diào)用，”Guardio報告稱。

該報告還添加了以下內(nèi)容：“這兩個HTML元素(顏色樣式和colorrgbstylesre)都包含內(nèi)容(InnerText)，第一個是字符串和正則表達式的'#'分隔列表，最后一個是逗號分隔的10k +域列表。為了完成它，它還為位置對象分配了一個新的URL，以便您將重定向到完成此流的廣告，因為它只是另一個廣告彈出窗口“。