Blokování škodlivých reklam AllBlock vkládá do prohlížeče nové reklamy

Experti z Impervy objevil škodlivý blokovač reklam AllBlock, rozšíření prohlížeče, který plní svůj úkol, také ale vkládá do prohlížeče skryté odkazy na pobočky.

Rozšíření je stále k dispozici v Internetovém obchodě Chrome a je umístěno jako nástroj pro blokování reklam na YouTube a Facebook, včetně boje proti vyskakovacím oknům a zrychlení procházení.

Vědci tvrdí AllBlock skutečně bojuje s reklamou, ale pouze k implementaci vlastní. Například, AllBlock forces legitimate URLs to redirect users to affiliate links controlled by the extension’s developers.

Specialisté objevili podivnou aktivitu AllBlock již v srpnu 2021, když identifikovali řadu dříve neznámých škodlivých domén distribuujících skript pro vkládání reklam. Skript odeslal legitimní adresy URL na vzdálený server a jako odpověď obdržel seznam domén, které mají být přesměrovány. Pokud uživatel klikl na odkaz takto upravený, byl přesměrován na jinou stránku (obvykle affiliate odkaz).

Dále, skript se může vyhnout detekci, například, zůstává mimo dohled velkých vyhledávačů, vymaže konzolu ladění každý 100 ms a aktivně detekuje proměnné Firebug.

Po podrobnějším prozkoumání blokátoru AllBlock, the Imperva tým objevil tento skript (bg.js), který vloží kód do každé nové karty otevřené v prohlížeči. Chcete -li vložit škodlivý skript, rozšíření se připojí k adrese URL na allblock.net, který vrací skript v base64, poté bude dekódován a vložen na stránku. Ve stejnou dobu, vývojáři rozšíření dokonce přidali do fragmentu škodlivého kódu několik neškodných objektů a proměnných, snaží skrýt své škodlivé funkce.

Připomenu vám to Podivný malware brání obětem v návštěvě pirátských stránek.