Вредоносный блокировщик рекламы Chrome внедряет рекламу за кулисами

16
Вредоносный блокировщик рекламы Chrome внедряет рекламу за кулисами

Было обнаружено, что расширение блокировки рекламы AllBlock Chromium вводит скрытые партнерские ссылки, которые генерируют комиссионные для разработчиков.

Это расширение по-прежнему доступно в Интернет-магазине Chrome и позиционирует себя как средство блокировки рекламы, которое фокусируется на YouTube и Facebook для предотвращения всплывающих окон и ускорения просмотра.

Однако, по словам исследователей из Imperva, расширение на самом деле проводит обманчивую кампанию по внедрению рекламы, которая заставляет законные URL-адреса перенаправлять на партнерские ссылки, контролируемые разработчиками расширения.

Внедрение рекламы — это процесс вставки рекламы или ссылок на веб-страницу, на которой они обычно не размещаются, что позволяет мошенникам зарабатывать деньги на рекламе или перенаправлять людей на партнерские сайты для получения комиссионных.

В августе 2021 года исследователи Imperva обнаружили набор ранее неизвестных вредоносных доменов, распространяющих сценарий внедрения рекламы.

Этот вредоносный сценарий будет отправлять допустимые URL-адреса на удаленный сервер и получать в ответ список доменов перенаправления. Если пользователь нажимает на измененную ссылку, он перенаправляется на другую страницу, обычно на партнерскую ссылку.

Скрипт для внедрения рекламы даже включает в себя методы обхода, такие как исключение крупных российских поисковых систем, очистка консоли отладки каждые 100 мс и активное обнаружение инициализированных переменных Firebug.

Более детально изучив AllBlock, команда Imperva обнаружила в «bg.js» искомый сценарий, который вставляет код в каждую новую вкладку, открываемую в браузере.

Чтобы внедрить вредоносный сценарий, расширение будет подключаться к URL-адресу на allblock.net , который вернет сценарий в кодировке base64, который будет декодирован и введен на веб-страницу.

Разработчики расширения добавили несколько безобидных объектов и переменных во вредоносный фрагмент кода JavaScript, пытаясь скрыть выполнение кода.

Как продвигается расширение, в настоящее время неясно, и Imperva считает, что мошенники могут также использовать другие расширения в этой кампании.

«Мы не думаем, что нашли источник атаки, которая привела нас к этому открытию, вероятно, из-за способа внедрения скрипта. Сценарий, который мы впервые наблюдали, был внедрен через тег скрипта, указывающий на удаленный сервер, на который расширение AllBlock внедряет вредоносный код прямо на активную вкладку, объясняет Imperva в отчете.

Это заставляет нас думать, что идет более крупная кампания, в которой могут использоваться другие методы доставки и дополнительные расширения », — Imperva.

Однако некоторые свидетельства IP и домена связывают это расширение с кампанией Pbot, которая активна как минимум с 2018 года.

Этот случай — еще одно напоминание о важности разумного выбора расширений браузера и установки только необходимых.

В этом случае AllBlock имеет отличные отзывы пользователей, потому что его функциональность как блокировщика рекламы была правильно реализована. Тем не менее, это создает риск обмана и сбивает покупателей с толку.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here