Il blocco degli annunci dannosi AllBlock inietta nuovi annunci nel browser
Esperti di Imperva scoperto il blocco degli annunci dannoso AllBlock, un'estensione del browser, che svolge il suo compito, anche ma inietta link di affiliazione nascosti nel browser.
L'estensione è ancora disponibile nel Chrome Web Store ed è posizionata come strumento per bloccare gli annunci su YouTube e Facebook, anche per combattere i pop-up e velocizzare la navigazione.
I ricercatori dicono AllBlock combatte davvero la pubblicità, ma solo per implementare il proprio. Per esempio, AllBlock forza gli URL legittimi a reindirizzare gli utenti ai link di affiliazione controllato dagli sviluppatori dell'estensione.
Gli specialisti hanno scoperto la strana attività AllBlock ad agosto 2021, quando hanno identificato un numero di domini dannosi precedentemente sconosciuti che distribuivano uno script per iniettare annunci. Lo script ha inviato URL legittimi al server remoto e in risposta ha ricevuto un elenco di domini da reindirizzare. Se un utente ha cliccato su un collegamento modificato in questo modo, è stato reindirizzato a un'altra pagina (di solito un link di affiliazione).
Inoltre, lo script può eludere il rilevamento, per esempio, rimane fuori dalla vista dei grandi motori di ricerca, cancella la console di debug ogni 100 ms e rileva attivamente le variabili di Firebug.
Dopo aver esaminato il blocco AllBlock in modo più dettagliato, il imperva il team ha scoperto questo script (bg.js), che inietta il codice in ogni nuova scheda aperta nel browser. Per iniettare uno script dannoso, l'estensione si connette a un URL su allblock.net, che restituisce lo script in base64, dopodiché verrà decodificato e incorporato nella pagina. Allo stesso tempo, gli sviluppatori dell'estensione hanno persino aggiunto diversi oggetti e variabili innocui al frammento di codice dannoso, cercando di nascondere le sue funzioni dannose.
Lascia che te lo ricordi Strano il malware impedisce alle vittime di visitare siti pirata.
