AllBlock ondsinnet annonseblokker injiserer nye annonser i nettleseren
Eksperter fra Imperva oppdaget den ondsinnede annonseblokkeren AllBlock, en nettleserutvidelse, som fyller sin oppgave, også, men injiserer skjulte tilknyttede lenker i nettleseren.
Utvidelsen er fortsatt tilgjengelig i Chrome Nettmarked og er plassert som et verktøy for å blokkere annonser på YouTube og Facebook, inkludert for å bekjempe popup-vinduer og øke hastigheten på surfing.
Forskere sier AllBlock kjemper faktisk mot reklame, men bare for å implementere sitt eget. For eksempel, AllBlock forces legitimate URLs to redirect users to affiliate links controlled by the extension’s developers.
Spesialister oppdaget den merkelige AllBlock -aktiviteten tilbake i august 2021, da de identifiserte en rekke tidligere ukjente ondsinnede domener som distribuerte et skript for å injisere annonser. Skriptet sendte legitime nettadresser til den eksterne serveren og mottok en liste over domener som de skulle omdirigere som svar. Hvis en bruker klikket på en lenke som ble endret på denne måten, han ble omdirigert til en annen side (vanligvis en tilknyttet lenke).
I tillegg, skriptet kan unngå deteksjon, for eksempel, holder seg unna synsvinkelen til store søkemotorer, fjerner feilsøkingskonsollen hver 100 ms og oppdager aktivt Firebug -variabler.
Etter å ha undersøkt AllBlock -blokkeringen mer detaljert, de Imperva teamet oppdaget dette skriptet (bg.js), som injiserer koden i hver ny fane som åpnes i nettleseren. For å injisere et ondsinnet skript, utvidelsen kobles til en URL på allblock.net, som returnerer skriptet i base64, hvoretter det vil bli avkodet og innebygd i siden. Samtidig, utviklerne av utvidelsen til og med lagt til flere ufarlige objekter og variabler i det ondsinnede kodefragmentet, prøver å skjule sine ondsinnede funksjoner.
La meg minne deg på det Rar skadelig programvare forhindrer ofre i å besøke piratsider.
