I ricercatori di Guardio Security hanno scoperto una campagna di malvertising che sfrutta almeno 30 estensioni di Chrome (successivamente rimosse dal Web Store) per dirottare le ricerche, inserire link di affiliazione nelle pagine web e raccogliere numerosi dati di navigazione. La campagna è stata denominata Dormant Colors, in quanto gli add-on permettono di cambiare i colori dell’interfaccia del browser.
Malvertising, hijacking e phishing
Guardio Security ha scoperto circa 30 estensioni fasulle a metà ottobre per un totale di oltre un milione di installazioni. La catena di infezione inizia con il malvertising. Se l’utente clicca sull’annuncio pubblicitario, il browser visualizza un pop-up che invita all’installazione dell’add-on. Viene quindi effettuato un doppio reindirizzamento e caricati diversi script che effettuano un “search hijacking“, ovvero il dirottamento della ricerca verso i siti affiliati con lo sviluppatore dell’estensione.
Inoltre, ogni volta che l’utente visita uno dei domini elencati nel codice, le estensioni aggiungono un link di affiliazione all’URL. Lo scopo è ovviamente incassare una commissione per ogni acquisto effettuato dagli utenti. Usando la stessa tecnica di side-loading degli script è possibile eseguire azioni più pericolose.
I cybercriminali potrebbero aggiornare il codice per mostrare pagine di login fasulle (phishing) e rubare le credenziali di accesso a social network, servizi online o account bancari. Le estensioni si limitavano al dirottamento delle ricerche e alle affiliazioni nascoste, ma non è da escludere la distribuzione di altri add-on con funzionalità più rischiose per la sicurezza. È quindi fortemente consigliata l’installazione di antivirus che rilevano queste minacce.