Исследователи из компании Guardio Labs обнаружили новую вредоносную кампанию, распространяющую расширения для Google Chrome, которые перехватывают результаты поиска и подставляют партнерские ссылки на веб-страницы.
Все вредоносные модули предоставляют возможности настройки цвета и попадают на компьютер жертвы без вредоносного кода, поэтому аналитики назвали кампанию «Dormant Colors». Согласно отчету Guardio, к середине октября 2022 года в магазинах дополнений Chrome и Edge было доступно 30 вариантов надстроек для браузеров, которые были установлены более 1 миллиона раз.
При первой установке безобидное на первый взгляд расширение осуществляет перенаправление на различные страницы, загружая вредоносные скрипты, которые дают расширению команды перехватывать поисковые запросы и вставлять партнерские ссылки на определенные сайты. Также, вредоносные дополнения могут перенаправить жертв на фишинговые страницы для кражи учётных данных.
Все вредоносные расширения и сайты были удалены, но исследователи предупреждают, что кампания постоянно дополняется новыми расширениями и доменами.