AllBlock -haitallinen mainosten esto ruiskuttaa uusia mainoksia selaimeen

Helga Smithlokakuu 15, 2021Viimeksi päivitetty: maaliskuu 2, 2022
136 1 minuutti luettu

Asiantuntijat Impervasta löydetty haitallinen mainosten estäjä AllBlock, selainlaajennus, joka täyttää tehtävänsä, mutta myös pistää piilotetut kumppanilinkit selaimeen.

Laajennus on edelleen saatavilla Chrome Web Storessa ja se on työkalu mainosten estämiseen YouTubessa ja Facebook, ponnahdusikkunoiden torjumiseksi ja selaamisen nopeuttamiseksi.

Tutkijat sanovat AllBlock todellakin taistelee mainontaa vastaan, mutta vain toteuttaakseen omansa. Esimerkiksi, AllBlock pakottaa lailliset URL-osoitteet uudelleenohjaamaan käyttäjiä AllBlock pakottaa lailliset URL-osoitteet uudelleenohjaamaan käyttäjiä AllBlock pakottaa lailliset URL-osoitteet uudelleenohjaamaan käyttäjiä.

Tämän avulla huijarit voivat ansaita rahaa mainostamalla itseään tai ohjata ihmisiä kumppanisivustoille ansaitakseen rojalteja tytäryhtiöiltä.tutkijat sanovat.

Asiantuntijat löysivät outon AllBlock -toiminnan jo elokuussa 2021, kun he tunnistivat useita aiemmin tuntemattomia haitallisia verkkotunnuksia, jotka levittivät komentosarjan mainosten ruiskuttamiseen. Skripti lähetti lailliset URL -osoitteet etäpalvelimelle ja sai luettelon toimialueista, jotka uudelleenohjataan vastauksena. Jos käyttäjä napsautti tällä tavalla muokattua linkkiä, hänet ohjattiin toiselle sivulle (yleensä kumppanilinkki).

AllBlock -toiminta

Lisäksi, skripti voi välttää havaitsemisen, esimerkiksi, pysyy poissa suurten hakukoneiden näkyvistä, tyhjentää vianetsintäkonsolin joka kerta 100 ms ja tunnistaa aktiivisesti Firebug -muuttujat.

Tutkittuasi AllBlock -estoa yksityiskohtaisemmin, the Imperva tiimi löysi tämän käsikirjoituksen (bg.js), joka syöttää koodin jokaiseen uuteen selaimessa avattuun välilehteen. Ruiskuttaa haittaohjelma, laajennus muodostaa yhteyden osoitteeseen allblock.net, joka palauttaa komentosarjan base64: ssä, jonka jälkeen se dekoodataan ja upotetaan sivulle. Samaan aikaan, laajennuksen kehittäjät lisäsivät jopa useita vaarattomia objekteja ja muuttujia haitalliseen koodifragmenttiin, yrittää piilottaa haitalliset toiminnot.

Miten AllBlock mainostetaan ja jaetaan, ei ole vielä selvää, mutta Impervan asiantuntijat uskovat, että huijarit voivat käyttää muita laajennuksia tässä kampanjassa. Esimerkiksi, he onnistuivat löytämään todisteita siitä, että samat IP -osoitteet ja verkkotunnukset linkittävät tämän laajennuksen haittaohjelmaan Pbot kampanjaan, joka on ollut aktiivinen ainakin siitä lähtien 2018.

Haluan muistuttaa teitä siitä Outo haittaohjelma estää uhreja käymästä merirosvosivustoilla.

Tunnisteet
Helga Smithlokakuu 15, 2021Viimeksi päivitetty: maaliskuu 2, 2022
136 1 minuutti luettu

Helga Smith

Olin aina kiinnostunut tietojenkäsittelytieteistä, erityisesti tietoturva ja teema, jota kutsutaan nykyään "datatiede", jo varhaisesta teini-ikäisestäni. Ennen tulemista viruksenpoistotiimiin päätoimittajana, Olen työskennellyt kyberturvallisuuden asiantuntijana useissa yrityksissä, mukaan lukien yksi Amazonin urakoitsijoista. Toinen kokemus: Olen opettanut Ardenin ja Readingin yliopistoissa.

Jätä vastaus

Tämä sivusto käyttää Akismet roskapostin vähentämiseksi. Opi kommenttisi tietoja käsitellään.

Takaisin alkuun-painike