Guardio Labs 的研究者發現Google Chrome上出現了惡意的廣告內容，將一些惡意的外掛程式推播給潛在的使用者，此些惡意的外掛程式的功能為：劫持 (hijack) 搜索記錄並將特定附屬的連結插入網頁網址中。由於此些惡意的外掛程式都提供給使用者「顏色個人化設定」的功能，且內部並不包含避開安全檢測的惡意代碼，故研究人員戲稱其為「休眠的顏色」(Dormant Colors)。

根據 Guardio Labs 十月中所提出的報告內容，目前類似的惡意外掛程式在Chrome和Edge 上都可以被發現，數量約有30餘個，下載數量達到100萬以上。

 

通常使用者會透過提供下載連結和影片的外掛程式廣告中接觸到 Dormant Colors 類型的惡意程式，如下列連結影片所示：

(影片來源：BleepingComputer)

 

對於使用者來說，他們通常只認為自己下載了一個調整顏色的外掛程式。然而，除了外掛程式本身，此外掛程式也會將使用者的瀏覽器導流到一個惡意的程式手稿中，其中清楚的記錄了惡意網站執行劫持 (hijack) 搜索記錄和插入特定附屬的連結的指令；在所有過程的最後，此惡意程式的開發者會將使用者導入另一個跳窗廣告的頁面，讓使用者誤以為剛剛載入的時間和活動都來自於該廣告視窗。從中，惡意外掛程式的開發者可以從廣告商以及搜尋資料的記錄中，獲得收入。

除了重新將使用者導流到超過10000網站之外，此外掛程式也可能透過在使用者的網址中嵌入特定的字串，讓使用者若進行任何的消費行為時，網址中的此字串會透過廣告追蹤設計，將佣金派送給此外掛程式的開發者。

由於此外掛程式的謀利過程中涉及 ading 的技巧，故研究團隊認為 Dormant Colors 開發者可能可以做出較「透過廣告/佣金獲利」對使用者更不利的行為，例如將受害者導入個人的 microsoft 365, Google Workspace 或是社群軟體中，並從中竊取使用者的個人資料。雖然目前這些潛在的風險僅為推論，但研究團隊表示這對於 mant Colors 開發者是易如反掌的行為。因此，在經過反映之外，目前這些可疑的外掛程式都已經下架，但是很有可能這些開發者仍會持續開發相似的外掛者來圖利，使用者們仍需在瀏覽和使用外掛程式時，提高警覺。

 

參考資料

- Chrome extensions with 1 million installs hijack targets' browsers. Bleepingcomputer (Oct 24, 2022)-https://www.bleepingcomputer.com/news/security/chrome-extensions-with-1-million-installs-hijack-targets-browsers/