Se ha descubierto una importante campaña de publicidad maliciosa que secuestra las búsquedas de Internet de las personas y agrega enlaces de afiliados a sitios web.
Según los investigadores que detectaron la campaña, los desarrolladores generan muchos ingresos a través de las comisiones de los afiliados y las ventas de datos de búsqueda.
Los expertos de Guardio Labs descubrieron recientemente hasta 30 navegadores (se abre en una pestaña nueva) Extensiones tanto para Chrome como para Edge, activas desde al menos mediados de octubre de 2020 y con más de un millón de descargas.
Colores inactivos
Cuando las víctimas visitan diferentes sitios que ofrecen servicios de descarga de videos, primero se ven obligados a descargar la extensión para continuar con la descarga, encontraron los investigadores.
La extensión ofrece opciones de personalización del color y no incluye ningún código malicioso, lo que le permite pasar el antivirus. (se abre en una pestaña nueva) escaneos Esta es también la razón por la que los investigadores decidieron llamar a la campaña «Colores dormidos». Sin embargo, después de la instalación, la extensión redirigirá al usuario a una página web que descarga scripts maliciosos que le indican a la extensión cómo secuestrar los resultados de búsqueda y agregar enlaces de afiliados.
Se le indicaría a la extensión que devuelva resultados de búsqueda para consultas de sitios afiliados a los desarrolladores, generando así ingresos de impresiones de anuncios y ventas de datos de búsqueda.
Además, viene con una lista de redirección de aproximadamente 10,000 sitios web. Si la víctima intentara visitar alguno de esos sitios, sería redirigido a él, pero a través de un enlace con un enlace de afiliado. Como resultado, cualquier compra realizada en esos sitios ganaría la comisión de los desarrolladores.
Si bien la campaña puede parecer una molestia, no es exactamente dañina para las víctimas y no roba dinero directamente de sus bolsillos. Sin embargo, los investigadores advierten que la misma metodología podría usarse para robar información confidencial o credenciales de inicio de sesión de los objetivos.
Al redirigir a los usuarios a un sitio de phishing, los atacantes podrían obtener las contraseñas de Microsoft 365 o Google Workspace y detalles de sitios bancarios o plataformas de redes sociales.
Vía: BleepingComputer (se abre en una pestaña nueva)