Специалисты Google исключили из Chrome Web Store два опасных блокировщика рекламы —AdBlock (около 800 000 пользователей) и uBlock (850 000 пользователей). Оба расширения были полностью работающими, но очевидным образом маскировались под другие популярные блокировщики и занимались мошенничеством с помощью cookie stuffing.

Эксперты Google удалили проблемные расширения после того, как мошенническое поведение блокировщиков обнаружили специалисты компании AdGuard. Исследователи заметили, что примерно через 55 часов после установки этих расширений, те начинают обмениваться подозрительными запросами со своими серверами. Так, отвечая на запросы расширения, сервер передает список команд, после выполнения которых поведение «блокировщика» меняется: кроме блокирования рекламы он начинает делать кое-что еще. Речь идет о cookie stuffing, популярной мошеннической технике, которая часто используется в партнерском маркетинге для захвата трафика из легитимных источников.

Исследователи объясняют, что при заходе на каждый новый домен отсылается запрос на urldata.net. Например, после захода на teamviewer.com, высланный запрос будет выглядеть так:

http://urldata[.]net/api?key=4e4a7faf91b2bcda88a60e269e4d6208bfe8d3d6&out=https%3A%2F%2Fteamviewer.com&format=txt

Ответ на такой запрос будет содержать следующий URL:

http://urldata[.]net/newapi/click/PvdHh16uGq6mLqmbUoT3AaUImj7ynsh0cVlCywkljEF19oBV0JH4jNYpn--xwIyEV36OMPPH1IrESEyclc7yxEbB3mYrfPMxnGqoV4SOmQ4MI9NYNHAQrPHwvJNE0W488ESUN1y7ONahVxwBZKnr4PZlZKI5gNi65DoIfYNwXAPoyFwh8Mgz1bX63V4PnjspvZa-DqjF5GTNxoIJqpHLC1_SwlFRYeoIvVGutkgfCSI4hMHa3z52VbL7VxbaQAhhqLC-uJUJO_s234VL3JDM01O-JE9PS6fXOH6z5XUojvotSQ5mZe7NFEsuMaeSK9rasy8MvaICWZpGDmgxIodzvMpJUv41ppkuqMBDDYpHptCEBb4Za_HffgaiKn-aY_COfan5P650B6ZTQsVqNKidMRRaHY4FxvM7VA79vX5_Oe0J0c9Wczw8VM9GrvzlGLdt4TjyBcF2JEtpcayh99JdL1wxrL_EoEHMml4LDy1JwT8LPxPG2vrlK5QSuoGrx-7tJLHD6Gq3SUeQj1XXEcENy77hkzU79TO9_hEs29Kq6ASdk6NKIZT8gOuJsNOAkU4i0Y9JvmEpdENyBL2ugmFNyitW2CfGzHrLsNex

Расширение тут же откроет эту ссылку в фоновом режиме. За этим запросом последует цепочка редиректов:

Последним запросом в цепочке будет вот этот:

https://www.teamviewer[.]com/en/content/2019-cj-emea/?coupon=aff-19-en-10-1&utm_source=affiliate&utm_medium=cj&utm_campaign=dedc1dc5d58611e982c203670a180513&utm_content=2933854&PID=affiliate.cj.q1&s=1&cjevent=dedc1dc5d58611e982c203670a180513

Судя по всему, адрес принадлежит чьей-то партнерской программе с Teamviewer. В ответ браузер получит «партнерский» куки. В итоге если пользователь совершит покупку на сайте teamviewer.com, разработчик расширения получит комиссию от Teamviewer. Для данной схемы используется множество партнерских ссылок, вот некоторые жертвы обмана, чьи названия на слуху: microsoft.com, linkedin.com, aliexpress.com, booking.com. Эксперты отмечают, что это далеко не все, а полный список гораздо длиннее.

Исследователи пишут, что масштаб этой мошеннической кампании поражает. В общей сложности у расширений было более 1,6 миллиона активных пользователей, подмененных cookie минимум с 300 сайтов из списка Топ-10000 по версии Alexa. Точный ущерб от этой кампании оценить сложно, но в AdGuard уверены, что речь идет о нескольких миллионах долларов США в месяц.

2 комментария

  1. Аватар

    neoline

    24.09.2019 at 15:22

    где ссылки на эти плагины? как определить что у тебя установлено…

  2. Аватар

    Diflyrest

    25.09.2019 at 11:54

Оставить мнение