Złośliwy bloker reklam AllBlock wprowadza nowe reklamy do przeglądarki
Eksperci z Imperva odkryty złośliwy bloker reklam AllBlock, rozszerzenie przeglądarki, który spełnia swoje zadanie, ale również wstrzykuje ukryte linki partnerskie do przeglądarki.
Rozszerzenie jest nadal dostępne w Chrome Web Store i jest pozycjonowane jako narzędzie do blokowania reklam w YouTube i Facebook, w tym do zwalczania wyskakujących okienek i przyspieszenia przeglądania.
Naukowcy mówią Wszystkie bloki rzeczywiście walczy z reklamą, ale tylko do realizacji własnych. Na przykład, AllBlock forces legitimate URLs to redirect users to affiliate links controlled by the extension’s developers.
Specjaliści odkryli dziwną aktywność AllBlock w sierpniu 2021, kiedy zidentyfikowali szereg wcześniej nieznanych złośliwych domen rozpowszechniających skrypt do wstrzykiwania reklam. Skrypt wysłał prawidłowe adresy URL do zdalnego serwera i otrzymał w odpowiedzi listę domen do przekierowania. Jeśli użytkownik kliknął link zmodyfikowany w ten sposób, został przekierowany na inną stronę (zwykle link partnerski).
Dodatkowo, skrypt może uniknąć wykrycia, na przykład, pozostaje poza zasięgiem wzroku dużych wyszukiwarek, czyści konsolę debugowania co 100 ms i aktywnie wykrywa zmienne Firebug.
Po dokładniejszym zbadaniu blokady AllBlock, ten Imperwa zespół odkrył ten skrypt (bg.js), który wstrzykuje kod do każdej nowej karty otwartej w przeglądarce. Aby wstrzyknąć złośliwy skrypt, rozszerzenie łączy się z adresem URL na allblock.net, co zwraca skrypt w base64, po czym zostanie zdekodowany i osadzony na stronie. W tym samym czasie, twórcy rozszerzenia dodali nawet kilka nieszkodliwych obiektów i zmiennych do fragmentu złośliwego kodu, próbuje ukryć złośliwe funkcje.
Przypomnę, że Dziwne złośliwe oprogramowanie uniemożliwia ofiarom odwiedzanie pirackich stron.
