AllBlock ondsindet annonceblokker injicerer nye annoncer i browseren
Eksperter fra Imperva opdaget den ondsindede annonceblokker AllBlock, en browserudvidelse, som opfylder sin opgave, også, men injicerer skjulte tilknyttede links i browseren.
Udvidelsen er stadig tilgængelig i Chrome Webshop og er placeret som et værktøj til at blokere annoncer på YouTube og Facebook, herunder for at bekæmpe pop-ups og fremskynde browsing.
Det siger forskere AllBlock kæmper faktisk med reklamer, men kun for at implementere sit eget. For eksempel, AllBlock forces legitimate URLs to redirect users to affiliate links controlled by the extension’s developers.
Specialister opdagede den mærkelige AllBlock -aktivitet tilbage i august 2021, da de identificerede et antal tidligere ukendte ondsindede domæner, der distribuerede et script til at injicere annoncer. Scriptet sendte legitime webadresser til fjernserveren og modtog en liste over domæner, der skulle omdirigeres som svar. Hvis en bruger klikker på et link, der er ændret på denne måde, han blev omdirigeret til en anden side (normalt et tilknyttet link).
Desuden, scriptet kan undgå registrering, for eksempel, forbliver ude af syne for store søgemaskiner, rydder fejlretningskonsollen hver 100 ms og registrerer aktivt Firebug -variabler.
Efter at have undersøgt AllBlock -blokken mere detaljeret, det Imperva team opdagede dette script (bg.js), som injicerer koden i hver ny fane, der åbnes i browseren. At injicere et ondsindet script, udvidelsen opretter forbindelse til en URL på allblock.net, som returnerer scriptet i base64, hvorefter det vil blive afkodet og integreret i siden. På samme tid, udviklerne af udvidelsen tilføjede endda flere harmløse objekter og variabler til det ondsindede kodefragment, forsøger at skjule sine ondsindede funktioner.
Lad mig minde dig om det Mærkelig malware forhindrer ofre i at besøge piratsider.
