Der bösartige Werbeblocker AllBlock injiziert neue Anzeigen in den Browser

Experten von Imperva entdeckt der bösartige Werbeblocker AllBlock, eine Browsererweiterung, der seine Aufgabe erfüllt, fügt auch versteckte Affiliate-Links in den Browser ein.

Die Erweiterung ist weiterhin im Chrome Web Store verfügbar und dient als Tool zum Blockieren von Anzeigen auf YouTube und Facebook, auch um Pop-ups zu bekämpfen und das Surfen zu beschleunigen.

Forscher sagen AllBlock bekämpft tatsächlich Werbung, aber nur um eigene umzusetzen. Zum Beispiel, AllBlock forces legitimate URLs to redirect users to affiliate links controlled by the extension’s developers.

Auf diese Weise können Betrüger Geld mit Werbung für sich selbst verdienen oder Personen auf Partnerseiten umleiten, um Tantiemen von Partnern zu verdienen.sagen die Forscher.

Spezialisten haben die seltsame AllBlock-Aktivität bereits im August entdeckt 2021, als sie eine Reihe zuvor unbekannter bösartiger Domänen identifizierten, die ein Skript zum Einfügen von Anzeigen verbreiteten. Das Skript hat legitime URLs an den Remote-Server gesendet und als Antwort eine Liste von Domänen erhalten, die umgeleitet werden sollen. Wenn ein Benutzer auf einen so modifizierten Link geklickt hat, er wurde auf eine andere Seite weitergeleitet (normalerweise ein Affiliate-Link).

AllBlock-Aktivität

In Ergänzung, das Skript kann der Erkennung entgehen, beispielsweise, bleibt für große Suchmaschinen unsichtbar, löscht die Debug-Konsole alle 100 ms und erkennt aktiv Firebug-Variablen.

Nachdem Sie den AllBlock-Blocker genauer untersucht haben, das Imperva Team hat dieses Skript entdeckt (bg.js), die den Code in jede neue Registerkarte im Browser einfügt. Um ein bösartiges Skript einzuschleusen, die Erweiterung verbindet sich mit einer URL auf allblock.net, was das Skript in base64 zurückgibt, Danach wird es dekodiert und in die Seite eingebettet. Gleichzeitig, die Entwickler der Erweiterung haben dem Schadcode-Fragment sogar mehrere harmlose Objekte und Variablen hinzugefügt, versuchen, seine bösartigen Funktionen zu verbergen.

Wie AllBlock beworben und verbreitet wird, ist noch nicht klar, Experten von Imperva glauben jedoch, dass Betrüger andere Erweiterungen in dieser Kampagne verwenden können. Zum Beispiel, es gelang ihnen, einige Beweise dafür zu finden, dass dieselben IP-Adressen und Domänen diese Erweiterung mit dem bösartigen verbinden Pbot Kampagne, die seit mindestens aktiv ist 2018.

Lass mich dich daran erinnern Komisch Malware verhindert, dass Opfer Piratenseiten besuchen.

Helga Smith

Ich habe mich schon immer für Informatik interessiert, insbesondere Datensicherheit und das Thema, das heißt heute "Datenwissenschaft", seit meiner frühen Jugend. Bevor Sie als Chefredakteur in das Virus Removal Team eintreten, Ich habe als Cybersecurity-Experte in mehreren Unternehmen gearbeitet, einschließlich eines der Vertragspartner von Amazon. Eine andere Erfahrung: Ich habe Lehraufträge an den Universitäten Arden und Reading.

Hinterlasse eine Antwort

Diese Seite nutzt Akismet Spam zu reduzieren. Erfahren Sie, wie Sie Ihren Kommentar Daten verarbeitet.

Schaltfläche "Zurück zum Anfang"