Der bösartige Werbeblocker AllBlock injiziert neue Anzeigen in den Browser
Experten von Imperva entdeckt der bösartige Werbeblocker AllBlock, eine Browsererweiterung, der seine Aufgabe erfüllt, fügt auch versteckte Affiliate-Links in den Browser ein.
Die Erweiterung ist weiterhin im Chrome Web Store verfügbar und dient als Tool zum Blockieren von Anzeigen auf YouTube und Facebook, auch um Pop-ups zu bekämpfen und das Surfen zu beschleunigen.
Forscher sagen AllBlock bekämpft tatsächlich Werbung, aber nur um eigene umzusetzen. Zum Beispiel, AllBlock forces legitimate URLs to redirect users to affiliate links controlled by the extension’s developers.
Spezialisten haben die seltsame AllBlock-Aktivität bereits im August entdeckt 2021, als sie eine Reihe zuvor unbekannter bösartiger Domänen identifizierten, die ein Skript zum Einfügen von Anzeigen verbreiteten. Das Skript hat legitime URLs an den Remote-Server gesendet und als Antwort eine Liste von Domänen erhalten, die umgeleitet werden sollen. Wenn ein Benutzer auf einen so modifizierten Link geklickt hat, er wurde auf eine andere Seite weitergeleitet (normalerweise ein Affiliate-Link).
In Ergänzung, das Skript kann der Erkennung entgehen, beispielsweise, bleibt für große Suchmaschinen unsichtbar, löscht die Debug-Konsole alle 100 ms und erkennt aktiv Firebug-Variablen.
Nachdem Sie den AllBlock-Blocker genauer untersucht haben, das Imperva Team hat dieses Skript entdeckt (bg.js), die den Code in jede neue Registerkarte im Browser einfügt. Um ein bösartiges Skript einzuschleusen, die Erweiterung verbindet sich mit einer URL auf allblock.net, was das Skript in base64 zurückgibt, Danach wird es dekodiert und in die Seite eingebettet. Gleichzeitig, die Entwickler der Erweiterung haben dem Schadcode-Fragment sogar mehrere harmlose Objekte und Variablen hinzugefügt, versuchen, seine bösartigen Funktionen zu verbergen.
Lass mich dich daran erinnern Komisch Malware verhindert, dass Opfer Piratenseiten besuchen.