Les chercheurs en sécurité de Guardio Labs alertent au sujet d'une campagne de malvertising permettant la diffusion d'extensions malveillantes pour les navigateurs Google Chrome et Microsoft Edge. Cette campagne de publicités malveillantes est baptisée Dormant Colors.
Pouvant être hébergées sur des boutiques officielles comme le Chrome Web Store, les extensions sont susceptibles d'être à l'origine du vol de données de navigation et de recherche, le détournement d'identifiants affiliés (liens d'affiliation) pour une dizaine de milliers de sites ciblés.
À la mi-octobre, il y avait au moins une trentaine de variantes des extensions impliquées dans la campagne de malvertising et disponibles gratuitement, avec un cumul de plus d'un million d'installations.
Un vecteur d'attaque classique
BleepingComputer explique que l'infection s'appuie sur des publicités ou des redirections lors de la consultation de pages web proposant une vidéo ou un téléchargement. Une tentative de consultation ou de téléchargement aiguille vers un autre site selon lequel une extension doit être installée.
Le cas échéant, c'est une extension apparemment inoffensive qui est installée et fait principalement référence à des possibilités de modification des couleurs d'arrière-plan des sites visités, d'où le nom de Dormant Colors qui a été attribué à la campagne.
" Lors de la première installation, les extensions redirigent les utilisateurs vers des pages qui chargent en parallèle des scripts malveillants indiquant à l'extension comment effectuer des détournements des résultats de recherche et sur quels sites insérer des liens d'affiliation ", écrit BleepingComputer.
Peut-être pire à l'avenir
Le but de la manœuvre est de permettre aux attaquants d'obtenir des revenus issus d'impressions publicitaires et de la vente de données de recherche, toucher une commission sur des achats effectués sur des sites.
Dans un billet de blog, Guardio entre dans les explications techniques et publie une liste d'indicateurs de compromission. Les chercheurs préviennent par ailleurs que les attaquants derrière la campagne Dormant Colors ont la possibilité d'aller plus loin que le détournement d'affiliations. Leur technique d'injection de code pourrait être exploitée pour " des activités plus malveillantes à l'avenir. "
Sur la base des indicateurs de compromission, les extensions concernées ont été retirées et les sites mis hors ligne. " La campagne est toujours en cours, changeant de domaine et générant de nouvelles extensions. "