Une importante campagne de publicité malveillante a été découverte, piratant les recherches Internet des internautes et ajoutant des liens d’affiliation vers des sites Web.
Selon les chercheurs qui ont repéré la campagne, les développeurs génèrent beaucoup de revenus grâce aux commissions d’affiliation et aux ventes de données de recherche.
Les experts de Guardio Labs ont récemment découvert jusqu’à 30 navigateurs (s’ouvre dans un nouvel onglet) extensions pour Chrome et Edge, actives depuis au moins mi-octobre 2020, et ayant été téléchargées plus d’un million de fois.
Couleurs dormantes
Lorsque les victimes visitent différents sites proposant des services de téléchargement de vidéos, elles sont d’abord obligées de télécharger l’extension, afin de poursuivre le téléchargement, ont découvert les chercheurs.
L’extension offre des options de personnalisation des couleurs et ne contient aucun code malveillant, a-t-on dit, lui permettant de passer l’antivirus (s’ouvre dans un nouvel onglet) scans. C’est aussi pourquoi les chercheurs ont décidé de baptiser la campagne « Dormant Colors ». Cependant, après l’installation, l’extension redirigera l’utilisateur vers une page Web qui chargera des scripts malveillants indiquant à l’extension comment détourner les résultats de recherche et ajouter des liens d’affiliation.
L’extension serait chargée de renvoyer les résultats de recherche pour les requêtes des sites affiliés aux développeurs, générant ainsi des revenus à partir des impressions d’annonces et des ventes de données de recherche.
De plus, il est livré avec une liste de redirection d’environ 10 000 sites Web. Si la victime essayait de visiter l’un de ces sites, elle y serait redirigée – mais via un lien avec un lien d’affiliation. En conséquence, tout achat effectué sur ces sites rapporterait la commission des développeurs.
Bien que la campagne puisse sembler gênante, elle n’est pas vraiment dommageable pour les victimes et ne vole pas d’argent directement dans leurs poches. Cependant, les chercheurs avertissent que la même méthodologie pourrait être utilisée pour voler des informations sensibles, ou des identifiants de connexion, aux cibles.
En redirigeant les utilisateurs vers un site de phishing, les attaquants pourraient obtenir des mots de passe Microsoft 365 ou Google Workspace, ainsi que des informations sur des sites bancaires ou des plateformes de réseaux sociaux.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)