Guardio Security 研究人员刚刚曝光了一款名叫 Dormant Colors 的浏览器扩展程序,可知其有在开展“大规模数据收集活动”。虽然软件本体看似人畜无害,主打色彩与主题风格。但其引导 Chrome 用户下载的 30 多种不同的扩展程序,还是暗藏了可侧载并感染数百万台 PC 的恶意代码。
看似无害的“helpers”自诩网页修改器,允许用户变更其访问页面上的背景色与字体样式等内容。
但在幕后,它们其实酝酿着多项恶意活动 —— 比如劫持搜索 / 浏览器历史记录、在访问的页面中插入广告、以及在不为人知的情况下侧载恶意代码。
在最坏的情况下,恶意代码可让整个计算机网络被感染,并使得黑客能够利用肉鸡开展其它恶意活动。
研究人员指出,Dormant Colors 从诡计多端的恶意广告活动开始,然后以一种狡猾新颖的方式、在无人留意的情况下侧载真正的恶意代码。
最后不仅窃取了用户的搜索和浏览数据,还波及上万个目标关联网站 —— 意味着后续可开展有针对性的网络钓鱼、账户接管和凭证提取活动。
已知的 30 款恶意扩展程序,都可在 Google Chrome 和 Microsoft Edge 上运行,并且能够在谷歌和微软的存储库中被找到。
前两家公司已经剔除了大部分恶意条目,但对于已经中招的用户来说、目前暂无有效方法来提醒用户清理,更何况恶意软件制作者可轻松改名上传、并继续忽悠不知情的人们下载。
除了针对个人用户闳整个域,Dormant Colors 还会通过窃取用户的浏览器数据、并将之发送到命令与控制服务器而做到这一点。
然后黑客会继续利用这些数据,通过“静默代码诸如”和新的的攻击向量来更新扩展。
按照常理,谷歌和微软的审核人员,原本是可以轻易揪出那些明显的恶意代码、并将其阻挡于正式上架前。
遗憾的是,Guardio Security 研究人员发现,恶意软件的运营者还是太狡猾了 —— 初始状态下的扩展看似人畜无害,但后续诱骗用户下载安装的扩展程序,却会被重定向至其它恶意软件。
有鉴于此,我们建议大家还是尽量不要通过第三方链接来加载扩展,而是始终通过浏览器开发商的官方渠道来获取。