Uma nova campanha de publicidade maliciosa foi descoberta. As extensões do Chrome com 1 milhão de instalações são as culpadas, pois seu objetivo era sequestrar pesquisas e inserir links de afiliados em páginas da web.
Isso foi descoberto por pesquisadores do Guardio Labs e relatado pela Bleeping Computer. A campanha foi batizada de “Cores Dormentes”, aliás.
Extensões do Chrome com mais de 1 milhão de instalações sequestram pesquisas
Dito isto, em meados de outubro de 2022, 30 variantes de extensões de navegador estavam disponíveis nas lojas da Web Chrome e Edge. Juntos, eles foram instalados mais de 1 milhão de vezes. Você pode conferir uma lista completa de complementos abaixo.
Como começou a infecção? Bem, “com anúncios ou redirecionamentos ao visitar páginas da web que oferecem um vídeo ou download”, diz Bleeping Computer. Quando um usuário tentasse baixar um programa ou assistir a um vídeo, ele seria redirecionado para outro site, que traria a instalação de uma extensão Chrome/Edge.
Se você clicar em ‘OK’ e ‘Continuar’, você será solicitado a instalar uma das extensões de mudança de cor listadas na imagem acima. Uma vez instaladas, essas extensões basicamente redirecionam os usuários para várias páginas que carregam scripts maliciosos de lado. Esses scripts empurrariam essas extensões para realizar o seqüestro de pesquisa e os instruiriam sobre quais sites inserir links de afiliados.
“O primeiro cria dinamicamente elementos na página enquanto tenta desesperadamente ofuscar as chamadas da API JavaScript”, diz o relatório do Guardio.
O relatório também acrescentou o seguinte: “Ambos esses elementos HTML (colorstylecsse e colorrgbstylesre) incluem conteúdo (InnerText) que, para o primeiro, é uma lista separada por ‘#’ de strings e regexes e o último é uma lista separada por vírgulas de mais de 10 mil domínios . Para finalizar, ele também atribui uma nova URL ao objeto de localização para que você seja redirecionado para o anúncio que finaliza esse fluxo, pois era apenas mais um pop-up de anúncio”.
O desenvolvedor geraria receita com impressões de anúncios, venda de dados de pesquisa e links de afiliados
Depois de fazer o seu trabalho, a extensão redireciona as consultas de pesquisa para retornar resultados de sites afiliados ao desenvolvedor da extensão. Portanto, geraria receita com impressões de anúncios e venda de dados de pesquisa.
Além disso, uma vez que as tags de afiliados são anexadas ao URL, os desenvolvedores também recebem uma comissão das vendas, graças a esses links de afiliados.