Эксперты компании Imperva обнаружили вредоносный блокировщик рекламы AllBlock. Хотя это браузерное расширение выполняет свою задачу и действительно блокирует рекламу, вместо нее AllBlock внедряет в браузер скрытые партнерские ссылки.

Расширение по-прежнему доступно в Chrome Web Store и позиционируется как средство для блокировки рекламы на YouTube и в Facebook, в том числе для борьбы со всплывающими окнами и ускорения просмотра.

Исследователи говорят, что AllBlock в самом деле борется с рекламой, но лишь для того, чтобы внедрить собственную. Так, AllBlock заставляет законные URL-адреса перенаправлять пользователей на партнерские ссылки, контролируемые разработчиками расширения. Это позволяет мошенникам зарабатывать деньги на рекламе самим или перенаправлять людей на партнерские сайты для получения отчислений от партнеров.

Странную активность AllBlock специалисты обнаружил еще в августе 2021 года, когда выявили  ряд ранее неизвестных вредоносных доменов, распространяющих скрипт для внедрения рекламы. Скрипт  отправлял легитимные URL-адреса на удаленный сервер и получал в ответ список доменов для перенаправления. Если пользователь нажимал на измененную таким способом ссылку, его перенаправляли на другую страницу (обычно на партнерскую ссылку).

Кроме того, скрипт умеет уклоняться от обнаружения, к примеру, не попадается «на глаза»  крупным российским поисковым системами, очищает консоль отладки каждые 100 мс и активно обнаруживает переменные Firebug.

Более детально изучив блокировщик AllBlock, команда Imperva обнаружила этот скрипт (bg.js), который внедряет код в каждую новую вкладку, открываемую в браузере. Чтобы внедрить вредоносный скрипт, расширение подключается к URL-адресу на allblock.net , который возвращает скрипт в base64, после чего он будет декодирован и внедрен на страницу. При этом разработчики расширения даже добавили несколько безобидных объектов и переменных во вредоносный фрагмент кода, стараясь скрыть его вредоносные функции.

Как именно рекламируется и распространяется AllBlock пока неясно, но эксперты Imperva считают, что мошенники могут использовать в этой кампании и другие расширения. Так, им удалось обнаружить некоторые свидетельства, что одинаковые IP-адреса и домены связывают это расширение с вредоносной кампанией Pbot, которая активна как минимум с 2018 года.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии