AllBlock skadlig annonsblockerare injicerar nya annonser i webbläsaren

Experter från Imperva upptäckt den skadliga annonsblockeraren AllBlock, ett webbläsartillägg, som fyller sin uppgift, också men injicerar dolda affiliatelänkar i webbläsaren.

Tillägget är fortfarande tillgängligt i Chrome Web Store och är placerat som ett verktyg för att blockera annonser på YouTube och Facebook, inklusive för att bekämpa popup-fönster och påskynda surfning.

Forskare säger AllBlock bekämpar verkligen reklam, men bara för att implementera sitt eget. Till exempel, AllBlock forces legitimate URLs to redirect users to affiliate links controlled by the extension’s developers.

Detta gör det möjligt för bedrägerier att tjäna pengar på att annonsera själva eller att omdirigera människor till affiliate -webbplatser för att tjäna royalty från affiliates.säger forskarna.

Specialister upptäckte den konstiga AllBlock -aktiviteten redan i augusti 2021, när de identifierade ett antal tidigare okända skadliga domäner som distribuerade ett skript för att injicera annonser. Skriptet skickade legitima URL -adresser till fjärrservern och fick en lista med domäner att omdirigera som svar. Om en användare klickade på en länk som ändrats på detta sätt, han omdirigerades till en annan sida (vanligtvis en affiliate -länk).

AllBlock -aktivitet

För övrigt, manuset kan undvika upptäckt, till exempel, förblir utom synhåll för stora sökmotorer, rensar felsökningskonsolen varje 100 ms och upptäcker aktivt Firebug -variabler.

Efter att ha undersökt AllBlock -blockeraren mer i detalj, de Imperva team upptäckte detta skript (bg.js), som injicerar koden i varje ny flik som öppnas i webbläsaren. Att injicera ett skadligt skript, tillägget ansluter till en URL på allblock.net, som returnerar skriptet i base64, varefter den kommer att avkodas och inbäddas i sidan. På samma gång, utvecklarna av tillägget tillade till och med flera ofarliga objekt och variabler till det skadliga kodfragmentet, försöker dölja sina skadliga funktioner.

Hur AllBlock annonseras och distribueras är ännu inte klart, men Impervas experter tror att bedragare kan använda andra tillägg i den här kampanjen. Till exempel, de lyckades hitta några bevis på att samma IP -adresser och domäner länkar detta tillägg till det skadliga Pbot kampanj, som har varit aktiv sedan åtminstone 2018.

Låt mig påminna dig om det Konstig skadlig kod hindrar offren från att besöka piratsidor.

Helga Smith

Jag var alltid intresserad av datavetenskap, särskilt datasäkerhet och temat, som kallas nuförtiden "datavetenskap", sedan mina tidiga tonåringar. Innan du kommer in i Virusborttagningsteamet som chefredaktör, Jag arbetade som cybersäkerhetsexpert i flera företag, inklusive en av Amazons entreprenörer. En annan upplevelse: Jag har undervisning vid universitet i Arden och Reading.

Lämna ett svar

Denna webbplats använder Akismet att minska mängden skräppost. Lär dig hur din kommentar data bearbetas.

Tillbaka till toppen