Se descubrió una nueva campaña de publicidad maliciosa. Las extensiones de Chrome con 1 millón de instalaciones son las culpables, ya que su propósito era secuestrar las consultas de búsqueda e insertar enlaces de afiliados en las páginas web.
Esto fue descubierto por investigadores de Guardio Labs e informado por Bleeping Computer. Por cierto, la campaña se llamó “Colores durmientes”.
Las extensiones de Chrome con más de 1 millón de instalaciones secuestran búsquedas
Dicho esto, a mediados de octubre de 2022, 30 variantes de extensiones de navegador estaban disponibles en las tiendas Chrome y Edge. Juntos se han instalado más de 1 millón de veces. Puede ver una lista completa de complementos a continuación.
¿Cómo comenzó la infección? Bueno, «con anuncios o redireccionamientos al visitar páginas web que ofrecen un video o una descarga», dice Bleeping Computer. Cuando un usuario intentaba descargar un programa o mirar un video, era redirigido a otro sitio, lo que provocaba la instalación de una extensión de Chrome/Edge.
Al hacer clic en «Aceptar» y «Continuar», se le pedirá que instale una de las extensiones que cambian de color que se enumeran en la imagen de arriba. Una vez instaladas, estas extensiones esencialmente redirigen a los usuarios a varias páginas que descargan scripts maliciosos. Esos scripts impulsarían esas extensiones para realizar secuestros de búsqueda y les indicarían en qué sitios insertar enlaces de afiliados.
«El primero crea dinámicamente elementos en la página mientras intenta desesperadamente ofuscar las llamadas a la API de JavaScript», dice el informe de Guardio.
El informe también agregó: «Ambos elementos HTML (colorstylecsse y colorrgbstylesre) contienen contenido (InnerText) que, para el primero, es una lista separada por ‘#’ de cadenas y expresiones regulares, y el último es una lista separada por comas de más de 10k dominios. apagado, también asigna una nueva URL al objeto de ubicación, por lo que será redirigido al anuncio que completa este flujo, ya que era solo otro anuncio emergente».
El desarrollador monetizaría las impresiones de anuncios, las ventas de datos de búsqueda y los enlaces de afiliados.
Una vez que hace su trabajo, la extensión redirige las búsquedas para obtener resultados de sitios afiliados al desarrollador de la extensión. Por lo tanto, se dice que genera ingresos a partir de las impresiones de anuncios y la venta de datos de búsqueda.
Además, una vez que se agregan las etiquetas de afiliado a la URL, los desarrolladores obtienen una comisión por la venta, gracias a esos enlaces de afiliado.
