Ο αποκλεισμός κακόβουλων διαφημίσεων AllBlock εισάγει νέες διαφημίσεις στο πρόγραμμα περιήγησης

Helga SmithΟκτώβριος 15, 2021Τελευταία ενημέρωση: Μάρτιος 2, 2022
118 1 λεπτό διάβασμα

Ειδικοί από την Imperva ανακαλύφθηκε το κακόβουλο πρόγραμμα αποκλεισμού διαφημίσεων AllBlock, μια επέκταση προγράμματος περιήγησης, που εκπληρώνει το καθήκον του, αλλά εισάγει κρυφούς συνδέσμους συνεργατών στο πρόγραμμα περιήγησης.

Η επέκταση εξακολουθεί να είναι διαθέσιμη στο Chrome Web Store και τοποθετείται ως εργαλείο αποκλεισμού διαφημίσεων στο YouTube και Facebook, συμπεριλαμβανομένης της καταπολέμησης των αναδυόμενων παραθύρων και της επιτάχυνσης της περιήγησης.

Οι ερευνητές λένε AllBlock πράγματι καταπολεμά τη διαφήμιση, αλλά μόνο για να εφαρμόσει τη δική του. Για παράδειγμα, AllBlock forces legitimate URLs to redirect users to affiliate links controlled by the extension’s developers.

Αυτό επιτρέπει στους απατεώνες να κερδίζουν χρήματα από τη διαφήμισή τους ή να ανακατευθύνουν άτομα σε ιστότοπους συνεργατών για να κερδίζουν δικαιώματα από συνεργάτες.λένε οι ερευνητές.

Οι ειδικοί ανακάλυψαν την περίεργη δραστηριότητα AllBlock τον Αύγουστο 2021, όταν εντόπισαν έναν αριθμό άγνωστων προηγουμένως κακόβουλων τομέων που διανέμουν ένα σενάριο για την εισαγωγή διαφημίσεων. Το σενάριο έστειλε νόμιμες διευθύνσεις URL στον απομακρυσμένο διακομιστή και έλαβε μια λίστα τομέων για ανακατεύθυνση ως απάντηση. Εάν ένας χρήστης έκανε κλικ σε έναν σύνδεσμο που τροποποιήθηκε με αυτόν τον τρόπο, ανακατευθύνθηκε σε άλλη σελίδα (συνήθως ένας σύνδεσμος συνεργατών).

Δραστηριότητα AllBlock

Επιπλέον, το σενάριο μπορεί να αποφύγει τον εντοπισμό, για παράδειγμα, μένει μακριά από τις μεγάλες μηχανές αναζήτησης, καθαρίζει κάθε φορά την κονσόλα εντοπισμού σφαλμάτων 100 ms και ανιχνεύει ενεργά μεταβλητές Firebug.

Αφού εξετάσετε λεπτομερέστερα τον αποκλειστή AllBlock, ο Ιμπέρβα η ομάδα ανακάλυψε αυτό το σενάριο (bg.js), που εισάγει τον κώδικα σε κάθε νέα καρτέλα που ανοίγεται στο πρόγραμμα περιήγησης. Για την εισαγωγή κακόβουλου σεναρίου, η επέκταση συνδέεται με μια διεύθυνση URL στο allblock.net, που επιστρέφει το σενάριο στο base64, μετά από αυτό θα αποκωδικοποιηθεί και θα ενσωματωθεί στη σελίδα. Την ίδια στιγμή, οι προγραμματιστές της επέκτασης πρόσθεσαν ακόμη και αρκετά ακίνδυνα αντικείμενα και μεταβλητές στο κακόβουλο κομμάτι κώδικα, προσπαθεί να κρύψει τις κακόβουλες λειτουργίες του.

Το πώς διαφημίζεται και διανέμεται το AllBlock δεν είναι ακόμη σαφές, αλλά οι ειδικοί της Imperva πιστεύουν ότι οι απατεώνες μπορούν να χρησιμοποιήσουν άλλες επεκτάσεις σε αυτήν την καμπάνια. Για παράδειγμα, κατάφεραν να βρουν κάποια στοιχεία ότι οι ίδιες διευθύνσεις IP και τομείς συνδέουν αυτήν την επέκταση με το κακόβουλο Pbot καμπάνια, που δραστηριοποιείται τουλάχιστον από τουλάχιστον 2018.

Επιτρέψτε μου να σας το υπενθυμίσω αυτό Παράξενος Το κακόβουλο λογισμικό εμποδίζει τα θύματα να επισκέπτονται πειρατικούς ιστότοπους.

Ετικέτες
Helga SmithΟκτώβριος 15, 2021Τελευταία ενημέρωση: Μάρτιος 2, 2022
118 1 λεπτό διάβασμα

Helga Smith

Ενδιαφέρομαι πάντα για τις επιστήμες των υπολογιστών, ειδικά την ασφάλεια δεδομένων και το θέμα, που ονομάζεται σήμερα "επιστημονικά δεδομένα", από τα πρώτα μου χρόνια. Πριν μπείτε στην ομάδα κατάργησης ιών ως αρχισυντάκτης, Εργάστηκα ως ειδικός στον τομέα της ασφάλειας στον κυβερνοχώρο σε πολλές εταιρείες, συμπεριλαμβανομένου ενός από τους εργολάβους της Amazon. Μια άλλη εμπειρία: Έχω διδάξει σε πανεπιστήμια Arden και Reading.

Αφήστε μια απάντηση

Αυτό το site χρησιμοποιεί Akismet να μειώσει το spam. Μάθετε πώς γίνεται επεξεργασία των δεδομένων σας σχόλιο.

Κουμπί Επιστροφή στην κορυφή