El bloqueador de anuncios maliciosos AllBlock inyecta nuevos anuncios en el navegador

Helga Smithoctubre 15, 2021Última actualización: marzo 2, 2022
118 1 minuto de lectura

Expertos de Imperva descubierto el bloqueador de anuncios malicioso AllBlock, una extensión de navegador, que cumple su cometido, también, pero inyecta enlaces de afiliados ocultos en el navegador.

La extensión todavía está disponible en Chrome Web Store y se posiciona como una herramienta para bloquear anuncios en YouTube y Facebook, incluso para combatir las ventanas emergentes y acelerar la navegación.

Los investigadores dicen AllBlock de hecho lucha contra la publicidad, pero solo para implementar su propio. Por ejemplo, AllBlock obliga a las URL legítimas a redirigir a los usuarios a enlaces de afiliados controlado por los desarrolladores de la extensión.

Esto permite a los estafadores ganar dinero con la publicidad ellos mismos o redirigir a las personas a sitios afiliados para obtener regalías de los afiliados..los investigadores dicen.

Los especialistas descubrieron la extraña actividad de AllBlock en agosto 2021, cuando identificaron una serie de dominios maliciosos previamente desconocidos que distribuían un script para inyectar anuncios. El script envió URL legítimas al servidor remoto y recibió una lista de dominios para redirigir en respuesta. Si un usuario hizo clic en un enlace modificado de esta manera, fue redirigido a otra página (generalmente un enlace de afiliado).

Actividad de AllBlock

Adicionalmente, el guión puede evadir la detección, por ejemplo, permanece fuera de la vista de los grandes motores de búsqueda, borra la consola de depuración cada 100 ms y detecta activamente las variables de Firebug.

Después de examinar el bloqueador AllBlock con más detalle, la Imperva equipo descubrió este guión (bg.js), que inyecta el código en cada nueva pestaña abierta en el navegador. Para inyectar un script malicioso, la extensión se conecta a una URL en allblock.net, que devuelve el script en base64, después de lo cual se decodificará e incrustará en la página. Al mismo tiempo, los desarrolladores de la extensión incluso agregaron varios objetos y variables inofensivos al fragmento de código malicioso, tratando de ocultar sus funciones maliciosas.

Cómo se anuncia y distribuye AllBlock aún no está claro, pero los expertos de Imperva creen que los estafadores pueden usar otras extensiones en esta campaña. Por ejemplo, lograron encontrar alguna evidencia de que las mismas direcciones IP y dominios vinculan esta extensión con el código malicioso Pbot Campaña, que ha estado activo desde al menos 2018.

Déjame recordarte que Extraño el malware evita que las víctimas visiten sitios piratas.

Etiquetas
Helga Smithoctubre 15, 2021Última actualización: marzo 2, 2022
118 1 minuto de lectura

Helga Smith

Siempre me interesaron las ciencias de la computación., especialmente la seguridad de los datos y el tema, que se llama hoy en día "Ciencia de los datos", desde mi adolescencia. Antes de ingresar al equipo de eliminación de virus como editor en jefe, Trabajé como experto en ciberseguridad en varias empresas., incluido uno de los contratistas de Amazon. Otra experiencia: He enseñado en las universidades de Arden y Reading..

Deja una respuesta

Este sitio utiliza para reducir el spam Akismet. Aprender cómo se procesa sus datos comentario.

Botón volver arriba