AllBlock skadlig annonsblockerare injicerar nya annonser i webbläsaren
Experter från Imperva upptäckt den skadliga annonsblockeraren AllBlock, ett webbläsartillägg, som fyller sin uppgift, också men injicerar dolda affiliatelänkar i webbläsaren.
Tillägget är fortfarande tillgängligt i Chrome Web Store och är placerat som ett verktyg för att blockera annonser på YouTube och Facebook, inklusive för att bekämpa popup-fönster och påskynda surfning.
Forskare säger AllBlock bekämpar verkligen reklam, men bara för att implementera sitt eget. Till exempel, AllBlock forces legitimate URLs to redirect users to affiliate links controlled by the extension’s developers.
Specialister upptäckte den konstiga AllBlock -aktiviteten redan i augusti 2021, när de identifierade ett antal tidigare okända skadliga domäner som distribuerade ett skript för att injicera annonser. Skriptet skickade legitima URL -adresser till fjärrservern och fick en lista med domäner att omdirigera som svar. Om en användare klickade på en länk som ändrats på detta sätt, han omdirigerades till en annan sida (vanligtvis en affiliate -länk).
För övrigt, manuset kan undvika upptäckt, till exempel, förblir utom synhåll för stora sökmotorer, rensar felsökningskonsolen varje 100 ms och upptäcker aktivt Firebug -variabler.
Efter att ha undersökt AllBlock -blockeraren mer i detalj, de Imperva team upptäckte detta skript (bg.js), som injicerar koden i varje ny flik som öppnas i webbläsaren. Att injicera ett skadligt skript, tillägget ansluter till en URL på allblock.net, som returnerar skriptet i base64, varefter den kommer att avkodas och inbäddas i sidan. På samma gång, utvecklarna av tillägget tillade till och med flera ofarliga objekt och variabler till det skadliga kodfragmentet, försöker dölja sina skadliga funktioner.
Låt mig påminna dig om det Konstig skadlig kod hindrar offren från att besöka piratsidor.
