Az AllBlock rosszindulatú hirdetésblokkoló új hirdetéseket szúr be a böngészőbe
Az Imperva szakértői felfedezték a rosszindulatú reklámblokkoló AllBlock, böngészőbővítmény, amely betölti feladatát, de rejtett kapcsolt linkeket is beszúr a böngészőbe.
A bővítmény továbbra is elérhető a Chrome Internetes áruházban, és a YouTube-on és a hirdetések blokkolására szolgáló eszköz Facebook, többek között az előugró ablakok elleni küzdelem és a böngészés felgyorsítása érdekében.
A kutatók szerint AllBlock valóban harcol a reklámokkal, de csak a sajátja megvalósítására. Például, Az AllBlock a legitim URL-eket a felhasználók átirányítására kényszeríti kapcsolt linkekhez a bővítmény fejlesztői irányítják.
A szakemberek még augusztusban fedezték fel a furcsa AllBlock tevékenységet 2021, amikor számos korábban ismeretlen rosszindulatú domaint azonosítottak, amelyek egy szkriptet terjesztenek a hirdetések beszúrására. A szkript legitim URL-eket küldött a távoli kiszolgálónak, és válaszként megkapta az átirányítandó tartományok listáját. Ha egy felhasználó rákattint egy ilyen módon módosított hivatkozásra, átirányították egy másik oldalra (általában affiliate link).
Továbbá, a szkript kikerülheti az észlelést, például, távol marad a nagy keresők látóköréből, minden alkalommal törli a hibakereső konzolt 100 ms, és aktívan észleli a Firebug változókat.
Az AllBlock blokkoló részletesebb vizsgálata után, a Imperva csapat fedezte fel ezt a szkriptet (bg.js), amely beilleszti a kódot a böngészőben megnyitott minden új lapba. Rosszindulatú szkript beszúrása, a kiterjesztés az allblock.net webhelyen található URL-hez csatlakozik, amely visszaadja a szkriptet a base64-ben, ezután dekódolásra kerül és beágyazódik az oldalba. Egy időben, a bővítmény fejlesztői még több ártalmatlan objektumot és változót is hozzáadtak a rosszindulatú kódrészlethez, megpróbálja elrejteni rosszindulatú funkcióit.
Hadd emlékeztesselek erre Furcsa rosszindulatú program megakadályozza, hogy az áldozatok kalózoldalakat látogassanak meg.
