Κακόβουλο Chrome ad blocker εισάγει διαφημίσεις στο παρασκήνιο
Διαπιστώθηκε ότι το ad blocking extension AllBlock Chromium εισάγει κρυφά affiliate links που δημιουργούν προμήθειες για τους προγραμματιστές. Αυτή η επέκταση εξακολουθεί να είναι διαθέσιμη στο Web Store του Chrome και προβάλλεται ως ad blocker που εστιάζει στο YouTube και το Facebook για να αποτρέψει τα αναδυόμενα παράθυρα και να επιταχύνει την περιήγηση.
Δείτε επίσης: Επείγουσα ενημέρωση του Chrome διορθώνει δύο ευπάθειες zero-day
Ωστόσο, σύμφωνα με τους ερευνητές στο Imperva, το extension πραγματοποιεί στην πραγματικότητα μια παραπλανητική καμπάνια ad-injection που προκαλεί την ανακατεύθυνση των νόμιμων διευθύνσεων URL σε affiliate links που ελέγχονται από τους προγραμματιστές της επέκτασηςΤο ad injection είναι η διαδικασία εισαγωγής διαφημίσεων ή συνδέσμων σε μια ιστοσελίδα που κανονικά δεν τις φιλοξενεί, επιτρέποντας στους απατεώνες να κερδίζουν χρήματα από διαφημίσεις ή να ανακατευθύνουν άτομα σε ιστότοπους συνεργατών για να κερδίσουν προμήθειες.
Τον Αύγουστο του 2021, οι ερευνητές της Imperva ανακάλυψαν ένα σύνολο άγνωστων προηγουμένως κακόβουλων domain που διανέμουν ένα ad injection script.
Αυτό το κακόβουλο script θα στέλνει νόμιμα URL σε remote server και θα λάβει μια λίστα από redirection domains ως απάντηση. Εάν ένας χρήστης κάνει κλικ σε έναν τροποποιημένο σύνδεσμο, ο χρήστης ανακατευθύνεται σε διαφορετική σελίδα, συνήθως, σε affiliate link.Το ad-injecting script διαθέτει ακόμη και τεχνικές αποφυγής, όπως η εξαίρεση μεγάλων ρωσικών μηχανών αναζήτησης, η εκκαθάριση της κονσόλας εντοπισμού σφαλμάτων κάθε 100 ms και ο ενεργός εντοπισμός των αρχικοποιημένων μεταβλητών Firebug.
Ρίχνοντας μια βαθύτερη ματιά στο AllBlock, η ομάδα του Imperva βρήκε το script που αναζητούσαν στο “bg.js”, το οποίο εισάγει κώδικα σε κάθε νέα καρτέλα που ανοίγει στο πρόγραμμα περιήγησηΓια το inject του κακόβουλου script, η επέκταση θα συνδεθεί σε μια διεύθυνση URL στο allblock.net, η οποία θα επιστρέψει ένα “base64 encoded script” που θα αποκωδικοποιηθεί και θα γίνει inject στην ιστοσελίδα.
Οι προγραμματιστές της επέκτασης έχουν προσθέσει πολλά αβλαβή αντικείμενα και μεταβλητές στο κακόβουλο JavaScript snippet σε μια προσπάθεια να αποκρύψουν την εκτέλεση του κώδικα.
Ο τρόπος προώθησης της επέκτασης είναι προς το παρόν ασαφής και η Imperva πιστεύει ότι οι απατεώνες μπορούν επίσης να χρησιμοποιήσουν άλλες επεκτάσεις σε αυτήν την καμπάνια.Ωστόσο, ορισμένα στοιχεία IP και domain αποδίδουν αυτήν την επέκταση στην καμπάνια Pbot, η οποία είναι ενεργή τουλάχιστον από το 2018.
Δείτε επίσης: Mozilla: Η νέα λειτουργία του Chrome επιτρέπει την επιτήρηση σας
Αυτή η υπόθεση είναι ακόμη μια υπενθύμιση της σημασίας της σωστής επιλογής των επεκτάσεων του προγράμματος περιήγησής σας και της εγκατάστασης μόνο των απαραίτητων.
Σε αυτήν την περίπτωση, το AllBlock έχει εξαιρετικές κριτικές χρηστών επειδή η λειτουργικότητά του ως adblocker έχει εφαρμοστεί σωστά. Παρ ‘όλα αυτά, εισάγει κινδύνους εξαπάτησης και μπερδεύει τους αγοραστές.
Πηγή πληροφοριών: bleepingcomputer.com
Δεν υπάρχουν σχόλια