AllBlock kwaadaardige adblocker injecteert nieuwe advertenties in de browser
Experts van Imperva ontdekt de kwaadaardige adblocker AllBlock, een browserextensie, die zijn taak vervult, ook maar injecteert verborgen gelieerde links in de browser.
De extensie is nog steeds beschikbaar in de Chrome Web Store en is gepositioneerd als een hulpmiddel voor het blokkeren van advertenties op YouTube en Facebook, inclusief om pop-ups te bestrijden en het browsen te versnellen.
Onderzoekers zeggen: AllBlock vecht inderdaad tegen reclame, maar alleen om zijn eigen te implementeren. Bijvoorbeeld, AllBlock forces legitimate URLs to redirect users to affiliate links controlled by the extension’s developers.
Specialisten ontdekten de vreemde AllBlock-activiteit in augustus 2021, toen ze een aantal voorheen onbekende kwaadaardige domeinen identificeerden die een script verspreiden om advertenties te injecteren. Het script stuurde legitieme URL's naar de externe server en ontving als reactie een lijst met domeinen om door te verwijzen. Als een gebruiker op een link heeft geklikt die op deze manier is gewijzigd, hij werd doorgestuurd naar een andere pagina (meestal een affiliate link).
In aanvulling op, het script kan detectie ontwijken, bijvoorbeeld, blijft uit het zicht van grote zoekmachines, wist de debug-console elke 100 ms en detecteert actief Firebug-variabelen.
Na het nader onderzoeken van de AllBlock-blokker, de Imperva team ontdekte dit script (bg.js), die de code injecteert in elk nieuw tabblad dat in de browser wordt geopend. Een kwaadaardig script injecteren, de extensie maakt verbinding met een URL op allblock.net, die het script retourneert in base64, waarna het wordt gedecodeerd en in de pagina wordt ingesloten. Tegelijkertijd, de ontwikkelaars van de extensie hebben zelfs verschillende onschadelijke objecten en variabelen toegevoegd aan het kwaadaardige codefragment, proberen zijn kwaadaardige functies te verbergen.
Laat me je eraan herinneren dat Vreemd malware voorkomt dat slachtoffers piratensites bezoeken.
