AllBlock ondsindet annonceblokker injicerer nye annoncer i browseren

Eksperter fra Imperva opdaget den ondsindede annonceblokker AllBlock, en browserudvidelse, som opfylder sin opgave, også, men injicerer skjulte tilknyttede links i browseren.

Udvidelsen er stadig tilgængelig i Chrome Webshop og er placeret som et værktøj til at blokere annoncer på YouTube og Facebook, herunder for at bekæmpe pop-ups og fremskynde browsing.

Det siger forskere AllBlock kæmper faktisk med reklamer, men kun for at implementere sit eget. For eksempel, AllBlock forces legitimate URLs to redirect users to affiliate links controlled by the extension’s developers.

Dette giver svindlere mulighed for at tjene penge på at annoncere sig selv eller omdirigere folk til affiliate -websteder for at tjene royalty fra datterselskaber.siger forskerne.

Specialister opdagede den mærkelige AllBlock -aktivitet tilbage i august 2021, da de identificerede et antal tidligere ukendte ondsindede domæner, der distribuerede et script til at injicere annoncer. Scriptet sendte legitime webadresser til fjernserveren og modtog en liste over domæner, der skulle omdirigeres som svar. Hvis en bruger klikker på et link, der er ændret på denne måde, han blev omdirigeret til en anden side (normalt et tilknyttet link).

AllBlock -aktivitet

Desuden, scriptet kan undgå registrering, for eksempel, forbliver ude af syne for store søgemaskiner, rydder fejlretningskonsollen hver 100 ms og registrerer aktivt Firebug -variabler.

Efter at have undersøgt AllBlock -blokken mere detaljeret, det Imperva team opdagede dette script (bg.js), som injicerer koden i hver ny fane, der åbnes i browseren. At injicere et ondsindet script, udvidelsen opretter forbindelse til en URL på allblock.net, som returnerer scriptet i base64, hvorefter det vil blive afkodet og integreret i siden. På samme tid, udviklerne af udvidelsen tilføjede endda flere harmløse objekter og variabler til det ondsindede kodefragment, forsøger at skjule sine ondsindede funktioner.

Hvordan AllBlock annonceres og distribueres, er endnu ikke klart, men Imperva -eksperter mener, at svindlere kan bruge andre udvidelser i denne kampagne. For eksempel, det lykkedes dem at finde nogle tegn på, at de samme IP -adresser og domæner forbinder denne udvidelse med den ondsindede Pbot kampagne, som har været aktiv siden i hvert fald 2018.

Lad mig minde dig om det Mærkelig malware forhindrer ofre i at besøge piratsider.

Helga Smith

Jeg var altid interesseret i datalogi, især datasikkerhed og temaet, som kaldes i dag "datavidenskab", siden mine tidlige teenagere. Før du kommer ind i Virus Removal-teamet som chefredaktør, Jeg arbejdede som cybersikkerhedsekspert i flere virksomheder, inklusive en af ​​Amazons entreprenører. En anden oplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Efterlad et Svar

Dette websted bruger Akismet at reducere spam. Lær hvordan din kommentar data behandles.

Tilbage til toppen knap