Le bloqueur de publicités malveillantes AllBlock injecte de nouvelles publicités dans le navigateur

Les experts d'Imperva découvert le bloqueur de publicité malveillant AllBlock, une extension de navigateur, qui remplit sa mission, aussi mais injecte des liens d'affiliation cachés dans le navigateur.

L'extension est toujours disponible dans le Chrome Web Store et se positionne comme un outil de blocage des publicités sur YouTube et Facebook, notamment pour lutter contre les pop-ups et accélérer la navigation.

Les chercheurs disent ToutBloquer combat en effet la publicité, mais seulement pour mettre en œuvre son propre. Par exemple, AllBlock force les URL légitimes à rediriger les utilisateurs aux liens d'affiliation contrôlé par les développeurs de l'extension.

Cela permet aux fraudeurs de gagner de l'argent en se faisant de la publicité ou de rediriger les gens vers des sites affiliés pour gagner des redevances des affiliés..les chercheurs disent.

Les spécialistes ont découvert l'étrange activité AllBlock en août 2021, lorsqu'ils ont identifié un certain nombre de domaines malveillants auparavant inconnus, distribuant un script pour injecter des publicités. Le script a envoyé des URL légitimes au serveur distant et a reçu une liste de domaines à rediriger en réponse. Si un utilisateur a cliqué sur un lien ainsi modifié, il a été redirigé vers une autre page (généralement un lien d'affiliation).

Activité AllBlock

en outre, le script peut échapper à la détection, par example, reste hors de vue des grands moteurs de recherche, efface la console de débogage tous les 100 ms et détecte activement les variables Firebug.

Après avoir examiné plus en détail le bloqueur AllBlock, la Imperva l'équipe a découvert ce script (bg.js), qui injecte le code dans chaque nouvel onglet ouvert dans le navigateur. Pour injecter un script malveillant, l'extension se connecte à une URL sur allblock.net, qui renvoie le script en base64, après quoi il sera décodé et intégré dans la page. En même temps, les développeurs de l'extension ont même ajouté plusieurs objets et variables inoffensifs au fragment de code malveillant, essayant de cacher ses fonctions malveillantes.

Comment AllBlock est annoncé et distribué n'est pas encore clair, mais les experts d'Imperva pensent que les escrocs peuvent utiliser d'autres extensions dans cette campagne. Par exemple, ils ont réussi à trouver des preuves que les mêmes adresses IP et domaines relient cette extension au logiciel malveillant Pbot campagne, qui est actif depuis au moins 2018.

Permettez-moi de vous rappeler que Étrange un malware empêche les victimes de visiter des sites pirates.

Helga Smith

J'ai toujours été intéressé par l'informatique, en particulier la sécurité des données et le thème, qui s'appelle de nos jours "science des données", depuis mon adolescence. Avant de rejoindre l'équipe de suppression de virus en tant que rédacteur en chef, J'ai travaillé comme expert en cybersécurité dans plusieurs entreprises, dont l'un des sous-traitants d'Amazon. Une autre expérience: J'ai enseigné dans les universités d'Arden et de Reading.

Laisser un commentaire

Ce site utilise Akismet pour réduire le spam. Découvrez comment vos données de commentaire est traité.

Bouton retour en haut de la page